Экспресс курс по основам ИБ

Архитектура защищенных
сетей
Perimeter Layer
DEMO - версия

Ольков Евгений, 2023

netskills.ru
Оглавление
От Автора 4
Благодарности 5
О чем эта книга? 6
Для кого эта книга? 8
1. Стратегия комплексной защиты 9
1.1 Уровни защиты 10
1.2 Дополнительные технические меры 13
2. Архитектура защищенной сети 15
3. Perimeter Layer 16
4. UTM/NGFW/Network Firewall 17
4.1 UTM - Unified Threat Management 18
4.2 NGFW - Next-generation firewall 21
4.3 UTM vs NGFW (Network Firewalls) 25
4.4 Типовой дизайн сети с NGFW 26
4.4.1 Модульный дизайн 27
4.4.2 Север-Юг / Запад-Восток 29
4.5 Ключевые игроки рынка Network Firewalls 30
4.5.1 Check Point 31
4.5.2 Palo Alto Networks 32
4.5.3 Fortinet 33
4.5.4 А что же с Cisco? 34
4.5.5 Sangfor - новый зарубежный игрок 34
4.6 Отечественный рынок 35
4.6.1 UserGate 38
4.6.2 АПКШ Континент (Код Безопасности) 39
4.6.3 xFirewall (ИнфоТеКС) 39
4.6.4 PT NGFW (Positive Technologies) 40
4.7 CPU, ASIC, FPGA 41
4.8 Ключевые проблемы Network Firewalls 45
4.9 Бесплатные решения 50
4.10 Резюме по Network Firewalls 50
5. Email Security 52
5.1 Проблемы шифрования 53
5.2 SEG vs CAPES 56
5.3 Главные угрозы Email 57
5.4 Типовой дизайн сети с Email Security 60
5.5 Ключевые игроки рынка 62
5.5.1 Cisco Email Security 64
5.5.2 FortiMail 65
5.5.3 Microsoft 65

1
 5.5.4 Trend Micro 66
5.5.5 Check Point 67
5.6 Отечественный рынок 68
5.6.1 Kaspersky 69
5.6.2 Dr.Web 71
5.6.3 F.A.C.C.T. (Group-IB) 72
5.7 Ключевые проблемы Email Security 73
5.8 Бесплатные решения 74
5.9 Резюме по Email Security 76
6. WAF 77
6.1 WAF vs NGFW 78
6.2 Ключевые угрозы web-приложений 82
6.3 WAF vs WAAP 84
6.3.1 Классический WAF 84
6.3.2 WAAP 85
6.3.3 Cloud WAAP 90
6.3.4 NGFW с модулем WAF 91
6.4 Типовой дизайн сети с WAF 91
6.5 Ключевые игроки рынка 93
6.6 Отечественный рынок 95
6.6.1 PTAF 95
6.6.2 WebmonitorX 95
6.6.3 SolidWall WAF 96
6.6.4 Nemesida WAF 97
6.6.5 Континент WAF 98
6.6.6 Check Point AppSec 98
6.7 Бесплатные решения 99
6.8 Ключевые проблемы WAF 100
6.9 Резюме по WAF 101
7. Sandbox 102
7.1 Типы Sandbox и варианты интеграции 105
7.2 Типовой дизайн сети с Sandbox 108
7.3 Ключевые технологии песочниц 109
7.3.1 Типовая архитектура песочницы 110
7.3.2 Виды анализа 111
7.3.3 Динамический анализ 112
7.3.4 Техники обхода песочниц 114
7.3.5 Очистка содержимого 116
7.4 Ключевые игроки рынка 117
7.5 Отечественный рынок 120
7.5.1 PT Sandbox 121
7.5.2 Kaspersky Sandbox 122

2
 7.5.3 Group-IB TDS / Polygon 124
7.5.4 AVSOFT ATHENA 124
7.6 Бесплатные решения 125
7.7 Ключевые проблемы песочниц 126
7.8 Резюме по Sandbox 129
8. Другие средства защиты на Perimeter Layer 130
Вместо заключения 132

3
От Автора
Приветствую, Читатель. У тебя “в руках” (не у всех есть печатная версия) моя
вторая книга из новой серии по информационной безопасности. Первая книга -
“Азы КиберБезопасности”, которая вышла практически год назад. Если вы ее не
читали, то крайне рекомендую начать именно с нее, т.к. эта книга является ее
логическим продолжением.
На текущий момент это моя самая большая книга на написание которой
я потратил в общей сложности более 100 часов. Может показаться, что это
немного, но если учесть, что в день я тратил не более 1 часа (в утреннее или
вечернее время), иногда делал большие перерывы (отпуск, плохое настроение,
лень), то получается довольно неплохой срок - почти год. Конечно же здесь не
учитывается время, которое я тратил на изучение тех или иных продуктов, но
это часть моей работы.
Все это время книга висела на душе мертвым грузом, поэтому я безумно
рад, что закончил ее и смогу заняться следующим “проектом”. Вообще, данное
руководство отлично иллюстрирует то, что можно успеть сделать даже за
относительно небольшой промежуток времени. Требуется просто регулярность
и дисциплина, которая у меня тоже хромает…
Спешу предупредить, что книга не проходила профессиональной
редактуры и с большой долей вероятности вы встретите тут много ошибок.
Заранее прошу прощения.
К вам, Читателям, у меня лишь одна просьба - ценить труд автора и не
распространять данное руководство в сети Интернет. Этим вы поддержите наш
проект и смотивируете на написание новых обучающих материалов. Большое
спасибо за проявленный интерес. Желаю приятного и, надеюсь, полезного
чтения!

4
Благодарности
Я бы очень хотел поблагодарить несколько людей без которых, возможно,
данная книга не появилась бы вообще, либо была гораздо хуже:
1. Моя жена - Ксения. Человек, который всегда и во всем поддерживает
меня.
2. Мой друг и коллега - Виталий Айрапетов. Человек, который настоял на
идее этой книги и сделал первый запрос на подобное руководство.
3. Мой коллега - Сергей Григорьев. Человек, который был главным
“испытуемым”, первым читал мои черновики и давал ценный фидбек.
4. И конечно же мой сын - Степан. Это мой главный мотиватор во многих
начинаниях.
Ребята - большое спасибо!

5
О чем эта книга?
Считаю очень важным сразу обозначить, о чем эта книга. Затрагиваемые темы
очень обширны и естественно невозможно описать все аспекты. Поэтому
весьма важно понимать цель этой книги.
Если вы помните предыдущую книгу “Азы КиберБезопасности”, то там мы
в большей степени затронули основы ИБ и как грамотно подойти к этому
вопросу, чтобы уберечь компании от беспорядочной закупки различных средств
защиты. Мы описали важность аудита активов, оценки рисков, основные
драйверы безопасности, типовой ИБ процесс, политику безопасности и много
другое. Здесь же мы сконцентрируемся именно на технических средствах
защиты, которые используют на периметре сети. Почему мы начинаем именно
с периметра? Об этом буквально в следующей главе.
У меня не было задачи рассказать какое решение лучше или какая
технология является наиболее перспективной. Я хотел собрать и показать
целостную картину ИБ. Сложить все пазлы, так сказать. На рынке существует
огромное количество ИБ решений с различной аббревиатурой, которая, на
самом деле, может обозначать одно и то же. Многие средства защиты могут
дублировать функционал друг друга. Довольно легко запутаться. Мне хотелось
показать эти решения немного с другой стороны - со стороны задач и проблем
которые они решают. Рассказать про предпосылки появления этих решений, как
они эволюционировали и в чем конкурируют друг с другом. Затем подробно
описать, как все эти технические средства “приземляются” на типовую
архитектуру корпоративной сети. Отсюда и название - “Архитектура
защищенных сетей”.
Здесь важный момент - мы будем рассматривать ИБ решения именно в
разрезе корпоративных сетей. ЦОД сети, сети операторов или сети АСУ ТП
имеют значительные отличия. Если у вас нет представления, что такое
корпоративная сеть, какие основные модули в ней есть и как она строится, то
очень рекомендую к прочтению мою самую первую книгу “Архитектура
корпоративных сетей”, которую я написал почти 10 лет назад.
Но вернемся к нашей теме. Чего вы НЕ найдете в этой книге?
- примеры настроек описываемых решений;
- маркетинговые сравнения функционала;
- результаты тестирования;
- стоимость решений.
Если вы искали что-то из списка выше, то вам нужна другая книга. Заранее
извиняюсь.
Какие же классы средств защиты будут рассмотрены в этой книге? Мы
подробно опишем наиболее востребованные решения для защиты периметра
сети:

6
 - NGFW/UTM
- Email Security
- WAF
- Sandbox
Если вам не знакомы данные аббревиатуры - не пугайтесь, мы подробно
распишем каждый класс.
Я попробую описать наиболее важные (на мой взгляд) и концептуальные
вещи:
- Ключевые классы средств защиты для безопасности периметра сети.
- Принципы работы этих средств защиты.
- Причины необходимости этих решений и от чего они должны защищать.
- Особенности реализации этих решений, как архитектурные, так и
концептуальные.
- Частые заблуждения по поводу этих средств защиты.
- Ключевые игроки рынка, как зарубежного, так и отечественного.
- Типовой функционал, который требуется от этих решений.
- Типовой дизайн корпоративной сети с применением этих средств
защиты. Место расположения, модульность дизайна и т.д.
- Ключевые проблемы этих решений и на что стоит обращать внимание
при выборе.
- Бесплатные альтернативы коммерческих решений (если они есть).
После прочтения этой книги вы сможете (я надеюсь) уверенно
ориентироваться практически во всех ключевых решениях и технологиях по
защите периметра, будете понимать как и для чего они работают, как друг друга
дополняют, в какой части сети должны внедряться, какие альтернативы
существуют и на что опираться при выборе конкретного вендора.
Вот лишь небольшой перечень вендоров, которые будут рассмотрены в
этой книге: Cisco, Check Point, Fortinet, Palo Alto, Sangfor, Microsoft, TrendMicro,
UserGate, Код Безопасности, Инфотекс, Kaspersky, Positive Technologies,
Group-IB, Dr. Web, Wallarm, SolidWall, Nemesida, AVSOFT и т.д.
Надеюсь, что заинтересовал вас.

7
Для кого эта книга?
Не менее важный вопрос - для кого написана эта книга? Я бы разбил
потенциальных читателей на четыре больших категории:
1. Инженеры. Книга отлично подойдет для тех, кто внедряет,
администрирует или поддерживает различные ИБ решения. Инженеры
смогут взглянуть на свою работу “со стороны” и увидеть ее смысл в
разрезе архитектуры защищенных сетей. Осмысленность своих действий
крайне важна в любом деле, поэтому очень важно видеть всю картину, а
не ее отдельную часть.
2. ИБ/ИТ менеджеры. Управленцы в самом широком смысле этого слова -
ИТ и ИБ директора. С помощью данного руководства можно очень
быстро актуализировать и структурировать свои знания в сфере защиты
корпоративных сетей. Плюс, книга позволит увидеть возможные
альтернативы на рынке, что особенно важно в последние пару лет после
введения санкций.
3. ИБ/ИТ продавцы. Это могут быть “сейлы” интеграторов, дистрибьюторов
и даже вендоров. Несмотря на обилие технических терминов книга будет
понятна даже тем, кто никогда не работал с ИБ решениями с технической
точки зрения (администрирование, внедрение и поддержка). Данное
руководство позволит понять типовую архитектуру защищенных сетей и
принципы ее построения. Продажа средств защиты перестанет быть
просто строкой в бюджете партнера. Появится четкое понимание, что и
от чего защищает, а также какие решения будут актуальны для
конкретной компании.
4. Студенты. Куда же без них. Весьма трудно начинать карьеру в ИБ с нуля.
Университеты пока не дают действительно нужных знаний. В Интернете
же очень много разрозненной информации большая часть которой уже
безнадежно устарела. Данная книга (вместе с “Азы КиберБезопасности”)
будет отличным стартом для карьеры. Повторюсь, очень важно
изначально понимать, что и для чего ты делаешь. Т.е. понять концепт.
В целом, данная книга должна пригодиться всем, кто хоть как-то
интересуется сферой информационной безопасности. По крайней мере мне так
кажется…

8
1. Стратегия комплексной защиты
Начнем эту главу точно так же, как и в предыдущей книге «Азы
КиберБезопасности».
По работе мне часто приходилось общаться с людьми и обсуждать
вопросы кибербезопасности. Я выслушал сотни докладов на эту тему, прошел
множество курсов, прочел десятки книг, статей и поучаствовал в не меньшем
количестве проектов. Но вся получаемая информация по прежнему была очень
разрозненная и не структурированная. И только спустя некоторое время у меня
начала формироваться четкая картина того, как именно должна строиться
Информационная Безопасность компании.
Тот, кто знаком с моим “творчеством”, наверняка знает, что я всегда
стремился упростить сложные вещи, выделить ключевые моменты, оформить
разрозненные мысли в виде понятных постулатов или формул. Не знаю,
насколько верен такой подход, но я всегда придерживался его. В итоге я
получил некий “фреймворк” (концепт архитектуры), которого я стараюсь всегда
придерживаться. Не берусь судить, насколько он является верным. Просто хочу
им поделиться.
Давайте по порядку. Для обеспечения информационной безопасности в
компании вам придется что-то делать, т.е. принимать какие-то меры. И первое,
что вы должны четко усвоить - все меры защиты можно разбить на два
больших класса. Это:

1. Административные меры
Сюда входят такие вещи, как аудиты инфраструктуры, разработка политик
безопасности, регламентация, документирование, периодические испытания,
тренинги и даже бюджетирование. Мы подробно рассмотрели эти меры в книге
«Азы КиберБезопасности». Именно с этих мер вы должны начинать процесс
построения ИБ. Повторюсь, в очередной раз, ИБ это процесс, а не результат.
Если у вас не выстроен процесс, то считайте, что у вас нет ИБ, даже если вы
закупили самые дорогие ИБ решения.

2. Технические меры
Здесь уже применяются совершенно конкретные средства защиты, как
программные, так и программно-аппаратные комплексы (ПАК-и). Как было
сказано еще в начале книги, этих средств защиты (а точнее классов средств
защиты) огромное количество. Чтобы хоть как-то их сегментировать мы можем
разбить технические меры на две большие группы:

● Уровни защиты - технические средства распределенные по вашей сети,

позволяющие осуществлять защитные меры. В рамках нашего

9
 «фреймворка» выделено 5 уровней защиты: Internet Layer, Perimeter
Layer, Network Layer, Endpoint Layer и User Layer. Чуть позже мы обсудим
их предназначение.
● Дополнительные технические меры - технические средства, которые
позволяют получить максимум от всех уровней защиты, а также помогают
запустить тот самый непрерывный ИБ процесс.

Таким образом мы получаем следующую картинку нашего «фреймворка»:

Рассмотрим эти две группы чуть подробнее.

1.1 Уровни защиты

Прежде чем начать, давайте еще раз внимательно взглянем на уровни защиты
в нашем «фреймворке»:

10
Я специально выделил уровни разным цветом. Желтым - традиционные
(обязательные) уровни, Красным - новые уровни, которые появились
относительно недавно и еще не успели стать общепринятыми (что не отменяет
их важности в современном мире). Все эти уровни содержат технические
средства защиты. Давайте кратко опишем их в порядке исторического
формирования:
● Perimeter Layer (уровень периметра) - максимальное сокращение
площади атаки на ресурсы компании. Фильтрация контента,
инспектирование разрешенного трафика, защита публичных ресурсов
компании. Исторически, данный уровень защиты появился первым, на
заре зарождения сети Интернет, когда появились первые межсетевые
экраны. Как вы уже наверно поняли из названия, данная книга будет
посвящена именно уровню защиты периметра.
● Endpoint Layer (уровень рабочих станций) - комплексная защита
рабочих станций и мобильных устройств. Предотвращение угроз
фишинга, шифровальщиков, вирусов, zero-day уязвимостей и т.д. с
подробным расследованием инцидентов. Данный уровень
сформировался вторым, с появлением первых антивирусов, когда стало
понятно, что недостаточно защищать только периметр.
● Network Layer (сетевой уровень) - анализ внутреннего графика на
предмет компрометации локальных узлов или поведенческих аномалий.
Этот уровень появился третьим, как необходимость для выявления угроз,
которые не были предотвращены на Perimeter и Endpoint уровнях. Одно
из первых решений этого уровня - IDS/IPS (система обнаружения и
предотвращения вторжений).
● Internet Layer (уровень Интернета) - поиск и предотвращение киберугроз
вне периметра компании. Относительно «молодой» уровень защиты,
который стал ярким свидетельством перехода компаний от пассивной
защиты к активной. К этому уровню можно отнести решения из категории
Threat Hunting, которые помогают искать актуальные угрозы для
компании, еще до того, как они случились.
● User Layer (уровень пользователей) - повышение защищенности
компании через обучение корпоративных пользователей основам
информационной безопасности. Уровень очень быстро набирает
популярность, т.к. Пользователи всегда являются самым слабым звеном
в защите. На текущий момент существует огромное количество сервисов
по повышению осведомленности пользователей (User Awareness).
Должны ли все эти уровни присутствовать в любой ИБ архитектуре
любой компании? Вовсе нет. Количество уровней и их состав определяется
исключительно моделью угроз и зрелостью ИБ в компании. Но важно помнить,
что любые ИБ меры эффективны только в комплексном подходе. Ни одно
средство защиты вам не даст 100% гарантии. Для реальной защищенности вы

11
просто обязаны применять принцип эшелонированный защиты. Именно
поэтому мы располагаем ИБ решения на разных уровнях сети.
Чтобы показать эффективность эшелонированной защиты, давайте еще
раз рассмотрим три главных вектора атаки на корпоративную сеть (мы это уже
делали в предыдущей книге):

Email и Web угрозы закрываются на Perimeter Layer. Угрозы для рабочих

станций или смартфонов блокируются на Endpoint Layer. Вроде логично. Но что
делать если вирус все же проник в нашу сеть через эти уровни, либо был
занесен иным образом (изначально зараженный коммутатор или сервер)?
Попав в сеть зловред будет пытаться распространиться дальше по сети. При
этом вредоносный трафик может даже не доходить до ИБ решений на
периметре. Мы должны иметь инструменты, которые помогут детектировать
подобную активность. Для этого и пригодится Network Layer со своими
техническими решениями, будь то классический IDS/IPS или новомодные
NTA/NDR/Honeypot решения. Таким образом мы сможем выполнять три
главные технические задачи любого «безопасника»:
● Prevent. Как можно раньше обнаружить и предотвратить атаку. Мы
должны пытаться сделать это сразу на нескольких уровнях
корпоративной сети.
● Detect & Contain. Как можно быстрее обнаружить и локализовать
успешную атаку (например, распространение шифровальщика по сети).
Невозможно гарантировать 100% предотвращение всех возможных угроз,
даже при использовании лучших средств защиты. Вы должны быть
готовы к активным действиям после успешной атаки на ваши ресурсы и
иметь соответствующие инструменты.
● Forensic & Respond. После того, как вы остановили атаку необходимо
провести детальный анализ произошедшего. Как была совершена атака
(entry point), какая уязвимость использовалась, каким данным был
нанесен ущерб, все ли удалось восстановить и как предотвратить
следующие атаки?
Именно многоуровневый подход с использованием различных ИБ
решений позволяет реализовать надежную защиту корпоративной сети. В

12
рамках данной книги мы сосредоточимся исключительно на решениях уровня
периметра, но, так или иначе, все равно затронем и другие уровни.

1.2 Дополнительные технические меры

Уровни защиты это хорошо, но как же сам процесс ИБ? Откуда ему взяться?
Эффективность построения ИБ всегда зависит исключительно от системности
подхода и технические средства защиты здесь играют далеко НЕ самую
важную роль. В большей степени эта системность (т.е. процесс) закладывается
именно в Административных мерах. Но и среди технических средств защиты
есть решения, которые помогают выстроить этот ИБ процесс. В нашем
«фреймворке» они вынесены в отдельную группу - Дополнительные
технические меры.

Дополнительные технические меры (не путать с техническими средствами) -

это те меры, которые помогают нам создавать, сопровождать и получать
максимум от всех средств защиты. Без них все наши уровни будут значительно
менее эффективны. По сути, именно эти дополнительные технические меры и
помогают создать систему управления информационной безопасностью
(СУИБ). Это тот самый процесс, про который я уже устал упоминать.
Еще одно из ключевых преимуществ дополнительных технических мер -
возможность перейти от качественной к количественной оценке эффективности
ИБ в компании. Как понять, что сегодня ваша организация защищена лучше,
чем вчера? Или как оценить эффективность работы ИБ отдела? Для примера
возьмем одно из ключевых решений этой группы - Сканер уязвимостей. С
помощью сканера мы можем зафиксировать, что в начале месяца в нашей сети
было более 100 критических уязвимостей в различных сервисах компании.
После тщательной работы ИБ отдела (обновление софта, операционных
систем, закрытие лишних портов, смена паролей по умолчанию и т.д.) в конце

13
месяца их осталось всего 5. Получаем хороший и совершенно измеримый
результат работы. Аналогичный пример можно привести для SIEM систем. В
начале месяца мы можем ежедневно регистрировать более 1000 ИБ
инцидентов с неизвестными узлами сети, но после проделанной работы (аудит
всех сервисов, грамотное и правильное внедрение технических средств
защиты на различных уровнях сети, доработка политики доступа и т.д.) в конце
месяца осталось всего 10 инцидентов в день и все системы известны. Тоже
вполне измеримый результат работы, который может отражать как
оптимальность используемых средств защиты, так и эффективность всей ИБ
команды в компании.
К сожалению, более подробное рассмотрение решений из
дополнительных технических мер выходит за рамки нашей книги. Эта тема
заслуживает отдельного руководства, которое, надеюсь, появится в скором
времени.

14
2. Архитектура защищенной сети
Мы познакомились с концептом нашего фреймворка, но уверен, что у многих
еще не до конца сложилась в голове общая “картинка”, как это применимо к
реальной сети. Специально для этого я расположил все упомянутые уровни
защиты на структурной схеме типовой корпоративной сети. Получается
следующая картина:

Уверен, что в таком виде “уровни защиты” гораздо удобнее для

понимания. Мы четко видим где они применяются и какие классы средств
защиты туда входят. Естественно, здесь перечислены не все возможные классы
ИБ решений, но я и не ставил подобную цель. Это скорее минимальный и
наиболее эффективный набор, который позволяет построить комплексную и
эшелонированную защиту - скелет любой защищенной сети. Мне бы очень
хотелось, чтобы после прочтения книги этот концепт прочно засел у вас в
голове.
Стоит отметить, что практически каждый представленный уровень
защиты заслуживает отдельной книги. Мы же сосредоточимся именно на
Perimeter Layer.

15
3. Perimeter Layer
Как и было сказано ранее, уровни мы будем изучать в порядке их
исторического появления. И так уж сложилось, что первым появился именно
уровень Периметра. На заре его “зарождения” это был всего лишь межсетевой
экран (или Firewall, как его называют), однако сейчас на данном уровне
располагается сразу несколько классов средств защиты. Вот наиболее яркие
представители:
1. NGFW/UTM
2. Email Security
3. WAF
4. Sandbox
5. DLP
Мы подробно рассмотрим каждый (кроме DLP). Хоть у них и разный
набор функций, почти у всех одна главная задача - предотвратить
проникновение злоумышленника или зловредного трафика внутрь
корпоративной сети из Интернета. Т.е. тот самый периметр - граница между
внешним и внутренним миром.
Исключение здесь представляют лишь DLP решения, которые наоборот
предотвращают утечку “чувствительных” корпоративных данных во внешнюю
сеть. К слову, данный функционал часто обозначают в составе современных
NGFW/UTM решений (конечно же с “некоторыми” ограничениями). Но обо всем
по порядку!
Важность Perimeter Layer обусловлена не только историческим фактом
появления, но и самим ландшафтом угроз. Как вы помните, три главных
вектора атаки: Web, Email и Endpoint (ПК и смартфоны). На периметре мы
можем закрыть два главных вектора (Web и Email), причем различными
классами средств защиты, которые друг друга дополняют и усиливают.
Практически все “безопасники” начинают строить защиту именно с
периметра. При этом можно сказать со 100% уверенностью, что наиболее
популярным решением по защите периметра является межсетевой экран и
лишь затем следуют все вышеупомянутые классы. Почему так? Узнаем
буквально в следующей главе!
Уверен, что после прочтения этой книги, вы станете экспертом по защите
периметра сети и будете отлично ориентироваться в современном рынке ИБ
решений!

16
4. UTM/NGFW/Network Firewall
Как только появились зачатки глобальной сети, всем стало очевидно, что
необходимо как-то отделять свою инфраструктуру от общей сети (тогда еще не
было понятия Internet). Если представить вашу сеть как крепость, то
межсетевой экран это ворота, которые должны пропускать только своих
горожан или их друзей.

Межсетевой экран как ворота в крепость (Design vector created by freepik -

www.freepik.com)

Согласитесь, что защищать крепость окруженную стенами и имеющую всего

один вход-выход гораздо проще! Как раз это и делает межсетевой экран (далее
МЭ) - выстраивает стену с воротами вокруг вашей инфраструктуры.
Ключевая задача МЭ - максимально уменьшить площадь атаки на вашу
инфраструктуру. Собственно так и делали довольно долгое время. На МЭ
разрешали только нужные tcp/udp порты, а все остальное запрещали. Делается
это с помощью так называемых access-lists (списки доступа). Применялся

17
подход “запрещен весь трафик, который явно не разрешен”. Типовые порты,
которые обычно разрешают на уровне периметра:
● tcp/80 - HTTP трафик
● tcp/443 - HTTPS трафик
● tcp/25 - SMTP трафик
● tcp/udp/53 - DNS
● и т.д.
Однако, в скором времени стало очевидно, что этого недостаточно. Атаки
могли совершаться и через разрешенные порты. Вот несколько типовых
сценариев:
1) Пользователь открывает зловредный сайт (80 или 443 порт) и скачивает
вирусный файл под видом нужного документа, картинки, архива и т.д.
Стоит отметить, что даже известный интернет ресурс может быть
“взломан” и стать точкой массового распространения вирусного контента.
Такие случаи происходят на регулярной основе и под угрозу попадает
огромное количество людей.
2) Этот же сайт может использоваться для эксплуатации известной
уязвимости браузера пользователя и, как следствие, заражения рабочей
станции. Пользователю даже не нужно ничего нажимать, заражение
происходит автоматически в фоновом режиме.
3) Зараженная рабочая станция может использовать разрешенный
протокол DNS для связи с командным центром злоумышленника. Т.е.
несмотря на МЭ на периметре сети, вашим устройством будет управлять
кто-то другой. Эта рабочая станция может быть использована для кражи
данных, дальнейшей атаки на другие устройства сети или стать частью
botnet сети (к примеру осуществлять DDoS атаки на сторонние ресурсы).
Это лишь малая часть возможных сценариева. Но проблема очевидна -
недостаточно лишь ограничивать трафик, нужна проверка разрешенного! Так и
появился концепт UTM.

4.1 UTM - Unified Threat Management

Если коротко, то суть UTM — консолидация нескольких средств защиты в
одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается
под “несколько средств защиты”? Ниже представлено определение UTM от
известной аналитической компании Gartner:

“Unified threat management (UTM) is a converged platform of point security

products, particularly suited to small and midsize businesses (SMBs). Typical feature
sets fall into three main subsets, all within the UTM: firewall/intrusion prevention
system (IPS)/virtual private network, secure Web gateway security (URL filtering,
Web antivirus [AV]) and messaging security (anti-spam, mail AV).”

18
Т.е. типовой набор для UTM это:
● Firewall - классический межсетевой экран, который может ограничивать
трафик на основе ip-адресов и портов. Практически все современные МЭ
поддерживают технологию SPI (stateful packet inspection - инспекция
пакетов с сохранением состояния), которая была придумана компанией
Check Point. SPI исключает возможность подмены пакетов в рамках
открытой сессии.
● IPS - система предотвращения вторжений (Intrusion Prevention System),
которая позволяет выявлять вредоносный трафик на основе
сигнатурного или поведенческого анализа. Мы посвятим этой теме
отдельный параграф в Network Layer.
● VPN - виртуальная частная сеть (Virtual Private Network). Если коротко, то
VPN позволяет организовать безопасный канал передачи данных
практически через любое интернет подключение. Обычно эта технология
используется для объединения филиалов в одну большую сеть
(Site-to-Site VPN) или же для предоставления удаленного доступа
сотрудникам к корпоративным ресурсам (Remote Access VPN).
● URL filtering - фильтрация интернет ресурсов. При этом блокировка
может выполняться как по категориям сайтов (социальные сети,
стриминговые сервисы, сайты для взрослых), так и по конкретным
адресам. Изначально эта технология появилась в таких решениях как
Proxy, но позже стала обязательной и для UTM.
● Web Antivirus - антивирус, который позволяет проверять безопасность
скачиваемого контента с любых веб-ресурсов. Иногда его называют
потоковым антивирусом, т.к. он должен уметь проверять файлы “на лету”,
до того, как они дошли до компьютера пользователя.
● Anti-Spam - фильтрация СПАМ сообщений. По статистике, более 80%
всех email сообщений в мире являются спамом.
● Mail Antivirus - антивирус для файлов или ссылок полученных по почте.
Как было сказано ранее, электронная почта до сих пор остается главным
вектором атаки. Злоумышленники могут присылать фишинговые письма,
ссылки на зловредные ресурсы или вирусные файлы.
Все это объединяется в рамках одного UTM решения, что проще с точки
зрения интеграции, настройки, администрирования и мониторинга. В свою
очередь это положительно сказывается на общей защищенности сети. При
таком подходе, любое соединение, которое было разрешено на уровне МЭ,
проходит дополнительную проверку на безопасность. Ниже представлен
типовой сценарий обработки трафика:
- URL Filtering проверяет разрешен ли ресурс, на который переходит
пользователь. Возможно сайт находится в блок листе и доступ будет
закрыт (несмотря на разрешенный 80 и 443 порт на уровне МЭ).

19
 - IPS отслеживает возможные аномалии в сетевом трафике и
осуществляет сигнатурный анализ. Если сайт зловредный и пытается
использовать известный эксплойт, соединение будет заблокировано.
- Web Antivirus проверяет все файлы, которые пользователь может
попытаться скачать. Некоторые файлы скачиваются автоматически при
открытии веб-ресурса (картинки, js скрипты и т.д.), чем и любят
пользоваться злоумышленники.
Несмотря на все описанные преимущества UTM, когда они только
появились, то их рассматривали исключительно для небольших компаний (SMB
- small and midsize business), т.к. UTM не справлялись с большими объемами
трафика. Это было по двум причинам:
1) Способ обработки пакетов. Первые версии UTM решений обрабатывали
пакеты последовательно, каждым “модулем”. Пример: сначала пакет
обрабатывается межсетевым экраном, затем IPS, потом его проверяет
Антивирус и так далее. Естественно такой механизм вносил серьезные
задержки в трафик и сильно расходовал ресурсы системы (процессор,
память).

2) Слабое “железо”. Как было сказано выше, последовательная обработка

пакетов сильно отъедает ресурсы и “железо” тех времен (1995-2008)
просто не справлялось с большим трафиком.
Со временем ситуация конечно же изменилась. На рынке появилось
много достойных вендоров. Ниже представлен знаменитый магический
квадрант Гартнера для UTM решений за сентябрь 2018 года:

20
Как видно, среди лидеров находятся Fortinet, Check Point и Sophos.
Что же изменилось с момента зарождения UTM и почему в этом рейтинге
2018 год, когда на дворе уже 23-й? Ответы будут даны чуть позже, чтобы не
запутаться. А пока продолжим рассмотрение защиты периметра в
хронологическом порядке.

4.2 NGFW - Next-generation firewall

Довольно долго UTM решения обеспечивали надежную защиту
периметра. Пока не эволюционировала сеть Интернет и не стала возможной
работа тысячи “приложений” через один единственный порт…
Для примера возьмем HTTPS (443 порт). Вы не можете его запретить, т.к.
на его основе работают более 90% интернет ресурсов (хотя еще 5 лет назад
доля HTTPS была менее 60%). Но через этот порт теперь могут работать не
только полезные для работы ресурсы в виде онлайн почты, новостных
порталов, торговых площадок и т.д. Через этот же порт теперь доступны:

21
 ● Развлекательные сервисы (YouTube, Spotify, Internet телевидение)
● Файлообменники (Dropbox, Google Drive, OneDrive, Yandex Disk и т.д.)
● Социальные сети и мессенджеры (Facebook, Instagram, WhatsApp,
Telegram и т.д.)
● Утилиты удаленного управления (TeamViewer, AnyDesk и т.д.)
● Игровые сервисы (Google Stadia, GeForce Now, PokerStars и т.д.)
● Tor-узлы (так называемый darknet)
● И многое другое.
Есть отличная картинка от Palo Alto Networks, которая ярко
демонстрирует проблему классического “портового” межсетевого экрана:

Знаменитая картинка от Palo Alto Networks

Здесь может возникнуть логический вопрос: “UTM решения имеют

функцию URL Filtering, которая позволяет отфильтровать эти категории сайтов.
Разве этого недостаточно?”. Нет, недостаточно. Дело в том, что даже в рамках
одного веб-ресурса может работать несколько микро-сервисов и виджетов. Для
примера возьмем Facebook. Кроме основного сайта, где мы можем
просматривать профили людей или компаний (что весьма важно для некоторых
сотрудников), есть еще такие микро-сервисы как:
- просмотр видео;
- создание публикаций;
- чаты с другими пользователями (messaging);
- игры на платформе facebook;
- загрузка файлов, картинок;
- и многое другое.

22
Очевидно, что некоторые подобные сервисы (например игры или загрузка
файлов) желательно блокировать. Механизмами URL фильтрации этого не
сделать, т.к. все эти виджеты работают на одном единственном сайте. Добавьте
к этому популярные десктопные приложения типа Telegram, WhatsApp, которые
используют динамически изменяемые URL для подключения к серверам. Вы
просто не сможете их “поймать” механизмами классического веб-фильтра.
Все это представляет серьезную опасность для корпоративной сети и
самих пользователей. Кроме того, что многие ресурсы/сервисы могут отвлекать
сотрудников от работы, они еще и могут использоваться злоумышленниками.
Скомпрометированный известный ресурс может долгое время распространять
вредоносное ПО и никто этого не заметит (банальная подмена скачиваемого
файла). Многие хакеры используют для своих вирусных файлов такие
популярные хранилища как Google Drive, OneDrive или Dropbox. Большинство
пользователей доверяет им и считает безопасным ресурсом.
Можно привести огромное кол-во сценариев атаки через 443 и 80 порт,
но в целом современный Интернет требует от МЭ следующий функционал:
1) Возможность определять используемое приложение. Не важно,
десктопный ли это клиент (Telegram, Skype, Dropbox, TeamViewer) или
веб-сервис (Youtube, Lenta.ru, Gmail, Office365). Любой современный сайт
можно считать приложением (веб-приложение). Мы должны уметь
строить разрешающие или запрещающие политики доступа на основе
приложений или категорий приложений.
2) Осуществлять проверку безопасности этого трафика. Как следует из
примера выше, нельзя полностью доверять даже самому известному
приложению или ресурсу. В любой момент он может оказаться
источником вредоносного трафика или вирусных файлов. Поэтому
необходимо проверять содержимое даже разрешенного контента.
Так и зародился концепт NGFW - Next-Generation Firewall.
Впервые понятие NGFW прозвучало “из уст” компании Palo Alto Networks,
которая выпускала “межсетевые экраны следующего поколения”. В 2009 году
аналитическая компания Gartner опубликовала соответствующий пост, где
объяснила принципиальное отличие NGFW (или Enterprise Firewall) от
классических межсетевых экранов:

“«Next-generation firewalls (NGFWs) are deep-packet inspection firewalls that move

beyond port/protocol inspection and blocking to add application-level inspection,
intrusion prevention, and bringing intelligence from outside the firewall. An NGFW
should not be confused with a stand-alone network intrusion prevention system
(IPS), which includes a commodity or non enterprise firewall, or a firewall and IPS in
the same appliance that are not closely integrated.»”

23
Т.е. NGFW должен уметь осуществлять проверку трафика до уровня
приложений - 7-ой уровень модели OSI. Здесь имеется в виду именно глубокий
разбор трафика (DPI - Deep Packet Inspection), который одновременно может
проверяться и другими технологиями, такими как IPS или Antivirus.
Кроме того, отличительной особенность NGFW стала возможность
строить списки доступа на основе учетных записей пользователей, а не на
основе ip-адресов, как это делалось ранее. Т.е. не важно с какого устройства
пользователь подключался к сети, его политика доступа формировалась
именно на основе учетной записи. Стоит отметить, что многие UTM решения
также уже имели эту функцию.
Ниже представлен рейтинг NGFW решений за октябрь 2018 года.

Как видно, среди лидеров находятся Palo Alto Networks, Fortinet, Check Point и
Cisco. Почему рейтинг тоже только за 2018 год? Почему некоторые вендора
присутствуют и в рейтинге UTM? Ответы в следующем параграфе.

24
4.3 UTM vs NGFW (Network Firewalls)
Самый частый вопрос слушателей, которые впервые знакомятся с концептами
UTM и NGFW: “А что лучше?”. Вопрос справедливый, а ответ неоднозначный.
Давайте разбираться.
Если помните, исторически концепт UTM появился раньше. Но были две
основные проблемы: последовательный метод обработки пакетов и слабое
“железо”. В результате UTM использовали только в SMB сегменте. Но прогресс
не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а
обработка пакетов изменилась (надо признать, что далеко не у всех вендоров)
и стала позволять практически одновременный анализ сразу в нескольких
модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут
“переваривать” десятки гигабит в режиме глубокого анализа, что дает
возможность использовать их в сегменте крупного бизнеса или даже
датацентров. Но самое главное - все современные UTM решения научились
распознавать приложения (причем довольно давно).
С другой стороны, в 2009 году “появились” NGFW решения, которые
изначально были спроектированы для быстрой и глубокой инспекции пакетов
на больших объемах трафика. При этом ключевой функцией была возможность
распознавать приложения и строить политики доступа на основе учетной
записи. На момент появления термина “NGFW” был всего один вендор, который
на 100% подходил под это определение - Palo Alto Networks. Многие полагают,
что это был грамотный маркетинговый трюк (стоит признать, что Palo Alto
Networks серьезно подтолкнули рынок и с самого основания находятся среди
лидеров). Несмотря на очевидные плюсы NGFW решений, были и минусы -
отсутствие привычных функций UTM и высокая цена для SMB сегмента. Долгое
время NGFW решения могли себе позволить только крупные компании.
Учитывая все плюсы и минусы двух классов решений начался процесс,
который я называю “диффузией”. Т.е. началось смешивание функций.
Большинство вендоров, которые изначально позиционировали свою продукцию
как UTM устройства, обзавелись функционалом NGFW. В это же время, NGFW
вендора существенно расширили функциональные возможности на примере
UTM и появились модели для небольших офисов (тот самый SMB). Ценник
немного выровнялся. Начиная где-то с 2015 года стало довольно трудно
отличить UTM от NGFW, т.к. делали они примерно одно и то же (хотя подходы к
реализации могли существенно отличаться). Именно этим объясняется, что
некоторые производители были в рейтингах и UTM, и NGFW (Gartner их
называл Enterprise Firewalls).
Как результат, в 2019 году Gartner объединил эти два класса в один -
Network Firewalls. Это довольно логичный шаг на фоне того, что NGFW
перестал быть классом решений, а стал лишь одной из функций, которая есть

25
практически у всех вендоров МЭ. Т.е. в большинстве случаев теперь нет
деления на UTM или NGFW (по крайней мере среди лидеров рынка), есть
Network Firewalls - устройство защиты периметра сети. Однако, многие
продолжают называть их NGFW, просто по привычке.

4.4 Типовой дизайн сети с NGFW

Прежде чем перейти к обзору основных игроков рынка NGFW давайте
рассмотрим типовой дизайн корпоративной сети с применением межсетевого
экрана. Ниже представлена примерная структурная схема:

Как видно из картинки, NGFW (выделен красной пунктирной линией), как

правило, применяют именно на границе сети (тот самый периметр) и
формируют, как минимум, 3 логических зоны (линии синего цвета):
1. Публичная сеть, т.е. Интернет. Зона с наименьшим уровнем доверия.
2. Локальная сеть, куда могут входить сети пользователей и сети
локальных серверов/сервисов. Пример таких серверов: почтовый сервер,

26
 1с сервер, файловый сервер, контроллер домена и т.д. Является
доверенной зоной.
3. DMZ. Сегмент, в котором располагаются публичные сервисы компании, к
которым есть доступ из сети Интернет. Пример таких сервисов: сайт
компании, FTP сервер, почтовый шлюз (SMTP) и т.д. Является
недоверенной зоной, т.к. сегмент публичный, он может быть
скомпрометирован и в дальнейшем использоваться для атаки на
остальную сеть.
В реальной жизни зон конечно же может быть больше, а каждая зона может
быть разбита на несколько сегментов, но все же ключевые роли мы
перечислили. Именно пограничный NGFW формирует “Периметр сети” и
именно здесь происходит фильтрация и проверка трафика максимальным
количеством функций безопасности.

4.4.1 Модульный дизайн

На схеме можно заметить, что кроме NGFW на границе сети присутствуют
пограничные маршрутизаторы. Иногда их называют “бордеры” (от англ. border -
граница). Это довольно частая практика для крупных компаний, которые могут
иметь несколько интернет каналов, использовать BGP (протокол динамической
маршрутизации) для отказоустойчивого доступа к своим публичным ресурсам и
применять прочие продвинутые функции маршрутизации.
Зачем так делать? Т.е. использовать выделенные “бордеры”? Дело в том,
что большинство NGFW решений имеют весьма посредственный функционал в
плане маршрутизации. И это нормально, NGFW это устройство безопасности, а
не маршрутизатор. Многие об этом забывают и пытаются навесть абсолютно
все задачи на единственное устройство. Естественно NGFW справится с
простейшими задачами роутинга, но для серьезных инсталляций, где
отказоустойчивость Интернет соединения является приоритетной задачей,
лучше использовать выделенные маршрутизаторы. И это не единственный
пример того, как некоторые критически важные задачи выносятся на отдельные
решения. Вот частые кейсы:
- Каналообразующее оборудование для связи с филиалами. Устройства
которые реализуют Site2Site VPN или SD WAN с филиалами компании.
- Шлюз удаленного доступа. Подключение удаленных сотрудников к
корпоративной сети посредством Remote Access VPN.
Задачи проверки трафика, роутинга, связи с филиалами и
предоставления удаленного доступа безусловно можно реализовать в рамках
одного NGFW решения на периметре. Но подходит это обычно для небольших
сетей с простыми задачами и небольшим трафиком. Для высоконагруженных и
отказоустойчивых систем чаще применяют именно раздельный дизайн, который
может выглядеть следующим образом:

27
 Здесь у нас 4 функциональных модуля для 4х разных задач:
- NGFW как ядро периметра;
- “Бордеры”, как отказоустойчивость интернет подключения;
- Site2Site VPN / SD WAN решение для организации связи с филиалами;
- RA VPN шлюз для подключения удаленных сотрудников.
Давайте еще раз проговорим ключевой вопрос большинства начинающих
“безопасников” - можно ли это все сделать на единственном NGFW? Как уже
писал выше - иногда можно. Но представленная модульная схема более гибкая
и отказоустойчивая. Выход из строя любого модуля не приводит к остановке
всей сети. Дополнительный плюс такого дизайна - вы можете использовать
специализированные решения, которые могут быть значительно лучше, чем
встроенные функции в каком-либо NGFW. Ключевой минус такого дизайна -
больше финансовых затрат и выше нагрузка на администрирующий персонал.
Поэтому при выборе NGFW и планировании сети важно четко понимать,
какие функции вам нужны, насколько они критичны и стоит ли их выносить в
отдельные функциональные модули.

28
4.4.2 Север-Юг / Запад-Восток
Если продолжить тему дизайна, то добавлю, что трафик пользователей в
Интернет и трафик из Интернета в DMZ часто называют “Север-Юг”. Как вы
уже поняли, для его проверки есть пограничный NGFW.

Но это не единственный вектор трафика в типовых корпоративных сетях. Есть

еще трафик между локальных серверов и трафик от пользователей к этим же
серверам. Этот вектор называется “Запад-Восток” и такой трафик не доходит
до NGFW на периметре сети. Как можно видеть на картинке выше, локальную
сегментацию как правило выполняют на коммутаторах ядра, которые лишены
каких-либо функций по проверке трафика. Таким образом мы теряем
возможность видеть угрозы, которые уже внутри - на Сетевом уровне (Network
Layer согласно нашему концепту). Мы подробно обсудим особенности защиты
на сетевом уровне в одной из следующих книг. А здесь же просто обозначим,
что в крупных компаниях NGFW ставят не только на периметре, но и в ядре,
для выполнения локальной сегментации и проверки трафика уже внутри сети.
Пример на картинке ниже:

29
Естественно, что для внутренней сегментации требуются более
производительные устройства, т.к. трафик “Запад-Восток” обычно значительно
больше. Есть повышенные требования к наличию сетевых портов: их
количество, скорость (1/10/40/100 Гбит/с) и тип (sfp/sfp+/qsfp и т.д.).
Однако, следует отметить, что для локального трафика редко
используют абсолютно все типы проверок. Обычно ограничиваются контролем
приложений и IPS. Такие функции как потоковый антивирус, или эмуляция
проходящих файлов в “песочнице” чаще всего НЕ применяют.
Использование NGFW в качестве ядра является хорошей практикой с
точки зрения безопасности, однако это не всегда возможно по финансовым
причинам.

4.5 Ключевые игроки рынка Network Firewalls

Как было сказано выше, начиная с 2019 года Gartner публикует рейтинги
Network Firewalls. Ниже представлен свежий рейтинг за ноябрь 2021 года:

30
Как видно, в квадранте лидеров (правый верхний угол) находятся Palo Alto
Networks, Fortinet и Check Point. Давайте вкратце рассмотрим их.

4.5.1 Check Point

Самая старая компания из трех. Основана в 1993 году в Израиле.
Штаб-квартира находится в Тель-Авиве. Общее число сотрудников более 5400
человек. Именно в Check Point придумали технологию Stateful Inspection без
которой невозможно представить любой современный МЭ. Отличительные
особенности этого вендора:
- Занимаются только кибербезопасностью и ничем больше. Т.е. высокая
сфокусированность и экспертиза. Регулярно находят новые уязвимости.
- Стабильно, уже больше 10 лет, находятся среди лидеров во всех
рейтингах (UTM, NGFW, а теперь и Network Firewalls).

31
 - Несмотря на свой возраст, компания живет в непрерывном режиме
стартапа. Новые технологии, новые подходы, все это про Check Point.
- Признанная лучшая система управления устройствами безопасности. В
Check Point одни из первых начали применять концепт
централизованного управления шлюзами.
- Главное кредо компании: “We prevent, not detect”. И это подтверждается
многими независимыми лабораториями, где Check Point показывает
высочайший процент блокировки угроз (а не просто детектирования).
- Check Point имеет очень большое сообщество экспертов, которые
делятся своим опытом.
- Обладают уникальной технологией масштабирования - Check Point
Maestro.
- Для обработки трафика традиционно используют CPU. Однако,
буквально в момент написания этой главы, Check Point выпустил
большое обновление в модельном ряду - Quantum Lightspeed. Шлюзы
поставляются с предустановленной платой с ASIC микросхемами на
борту. Устройство производится в партнерстве с NVidia.
- Капитализация компании почти $17 млрд (на январь 2022).
К слову, это единственный вендор из лидирующей тройки, который до сих пор
официально продается в России (по состоянию на лето 2023 года) после ухода
большинства других игроков в связи с февральскими событиями. Однако Check
Point соблюдает санкционный список и не продает свои решения большинству
компаний из банковской, военной, газонефтедобывающей и государственной
сферы.

4.5.2 Palo Alto Networks

Американская компания, основана в 2005 году Ниром Зуком, бывшим
инженером Check Point. Штаб квартира находится в Санта Клара, Калифорния.
Штат более 11000 сотрудников. Компания является родоначальником класса
NGFW решений. Во многом их подход определения приложений и угроз
остается уникальным среди других решений. Отличительные особенности
вендора:
- Как и Check Point, занимаются только кибербезопасностью. Высокая
экспертиза в этой сфере. Регулярно находят новые типы угроз и методы
защиты от них.
- Первое NGFW решение (согласно определению Gartner).
- Имеют патенты на уникальные технологии: App-ID (идентификация
приложений), User-ID (идентификация пользователей) и Content-ID
(защита от угроз).

32
 - Бессменный лидер среди Network Firewalls (ранее NGFW) на протяжении
десятка лет. Этот статус подтверждается и другими рейтинговыми
агентствами.
- Одни из первых начали применять ML (Machine Learning) алгоритмы для
обнаружения зловредов.
- Первая и пока единственная компания, которая использует FPGA
микросхемы (собственного производства) для обработки трафика.
- Также есть устройства разработанные совместно с NVidia.
- Капитализация $51 млрд (на январь 2022).

4.5.3 Fortinet
Американская компания, основана в 2000 году. Штаб квартира находится в
городе Саннивейл, Калифорния. В штате более 5000 сотрудников. Имеют
самый большой портфель решений среди приведенных лидеров и занимаются
не только кибербезопасностью. На текущий момент являются самым
доступным вендором (среди лидеров) межсетевых экранов для небольших
компаний. Отличительные особенности вендора:
- Кроме кибербезопасности также имеют решения в сфере IT:
коммутаторы, точки доступа, ip-камеры, ip-телефоны и т.д.
- Лидируют по количеству проданных межсетевых экранов за год.
- Для обработки трафика применяют собственные чипы (FortiSOC),
которые объединяют такие технологии как ASIC, Network Processor,
Content Processor и CPU общего назначения (позже рассмотрим что это).
Это позволяет получить значительную сетевую производительность даже
в устройствах самой младшей линейки.
- Выпускают наиболее экономичные решения (среди лидеров), которые
подходят как для компаний из 5 человек, так и для дата-центров с
обработкой трафика в сотни Гигабит/с.
- Одни из первых (среди лидеров) реализовали нативную поддержку
технологии SD-WAN.
- Позволяют организовать наиболее комплексную защиту сети при
использовании решений всего одно вендора - Fortinet Security Fabric.
- Среди лидеров являются самой бурно растущей компанией.
- Капитализация достигла $51 млрд (на январь 2022).

Все три компании занимаются не только собственными разработками, но и

активно поглощают успешные стартапы в области кибербезопасности. Усилия
вендоров нацелены на три основных сегмента:
1) Классические корпоративные сети и дата-центры;
2) Облачная инфраструктура и контейнерные среды;
3) Эндпоинты (рабочие станции, мобильные устройства).

33
 По каждому из вендоров и технологиям, которые они используют, можно
написать отдельную книгу. Но моя цель не показать кто из них лучше. Все три
вендора достойные решения (лучшие на рынке) и каждый из них обладает как
сильными, так и слабыми сторонами. В конечном итоге все зависит от задачи
компании, которая выбирает решение, но еще важнее - грамотная настройка и
последующий непрерывный процесс администрирования. Но об этом мы
поговорим чуть позже.

4.5.4 А что же с Cisco?

Странно было бы не упомянуть компанию Cisco в этом рейтинге, учитывая, что
они занимали (и все еще занимают) серьезную долю рынка в сфере
кибербезопасности.
Компания Cisco впервые “вывалилась” из квадранта лидеров в 2021 году.
Это довольно знаковое событие, т.к. межсетевые экраны Cisco долгое время
были самыми популярными в мире. Сначала PIX, затем знаменитая ASA. Когда
решения NGFW начали набирать популярность, Cisco предприняли попытку
войти в этот сегмент с собственной разработкой - ASA CX. Однако, было
очевидно, что технологически они сильно отстают. Тогда и была поглощена
компания Sourcefire (та самая компания, которая выпускала бесплатную IPS
систему Snort). Затем последовал долгий процесс интеграции их технологий в
экосистему Cisco. В результате появился продукт под названием FirePower,
который долгое время был лишь программным модулем (виртуальной
машиной) для Cisco ASA серии X. Такой подход оказался утопичным.
Появились полноценные устройства Firepower, но они все еще сильно уступали
конкурентам, как в техническом плане, так и в плане надежности работы.
Слишком много времени уходило на исправление проблем интеграции.
Относительно недавно произошел очередной ребрендинг и теперь рабочее
название - Cisco Secure Firewall.
Так, некогда лидеры рынка, перешли в статус “догоняющих”. Однако,
продукт стремительно развивается и возможно в скором времени мы увидим
значительные изменения. Лично я в этом сомневаюсь.

4.5.5 Sangfor - новый зарубежный игрок

Относительно недавно (лето 2022 года) на Российский рынок ворвался еще
один игрок из Китая - Sangfor. Флагманский продукт - NGAF (Next Generation
Application Firewall). Компания Sangfor была основана в 2000 году в городе
Шеньчжень. Первым продуктом стало IPsec/SSL VPN решение. Затем был
прокси сервер (IAG) и другие продукты. NGAF, как отдельный продукт, был
запущен аж в 2011 году, что делает его одним из самых молодых решений. В
компании работает более 10 тысяч человек и 40% из них - разработчики.
Отличительные особенности вендора:

34
 - Хорошая экосистема. Защита периметра (NGAF), защита рабочих
станций (EDR), защита на сетевом уровне (Cyber Command), прокси
сервер (IAG), собственная платформа виртуализации (HCI) и т.д.
- NGAF выделяется дополнительной встроенной функциональностью:
WAF, сканер уязвимостей, SOC, интеграция с EDR решениям, SD WAN.
- Быстро растущая компания, которая только начинает экспансию на
мировой рынок.
- Высокий рейтинг в Gartner (правый нижний квадрат) и высокий уровень
блокирования атак (block rate) по отчету Cyber Ratings.
- Одно из самых бюджетных решений класса NGFW.
- Высокая производительность устройств. Есть модели способный
обрабатывать до 150 Гбит/с трафика в режиме МЭ и более 50 Гбит/с в
режиме NGFW.
Стоит понимать, что вендор пришел на российский рынок только после
февральских событий 2022 года. Многие зарубежные вендоры покинули рынок
и конкуренция снизилась.

4.6 Отечественный рынок

Российский рынок не мог не наложить свой отпечаток на сегмент Network
Firewalls. На текущий момент есть несколько федеральных законов (ФЗ) и
несколько требований регуляторов, которые обязывают некоторые компании
использовать только сертифицированные средства защиты. Эти требования
распространяются и на межсетевые экраны, и на системы предотвращения
вторжений (чаще всего эти решения объединены в одно устройство). Вообще,
тема сертификации очень обширная и имеет множество тонкостей, поэтому мы
затронем лишь ключевые моменты, которые влияют на рынок в целом. Можно
выделить два ключевых типа сертификатов:
1. Сертификация ФСТЭК России. ФСТЭК - федеральная служба по
техническому и экспортному контролю. Именно эта служба формирует
технические требования к средствам защиты. Чтобы им соответствовать,
решение должно пройти процедуру сертификации. При этом можно
выделить несколько сфер деятельности, где обязательны
сертифицированные (ФСТЭК) средства защиты:
- Государственные информационные системы (ГИС);
- Автоматизированные системы управления технологическим
процессом (АСУ ТП);
- Персональные данные (ЗПДн);
- Критическая информационная инфраструктура (КИИ);
- Государственная тайна (ЗГТ);
- Конфиденциальная информация (служебная информация).

35
 В этих сферах мы обязаны выполнять требования к сертификации.
Иначе грозят большие штрафы и даже уголовная ответственность. На
самом деле все гораздо сложнее. Очень многое зависит от того, как
компания сможет себя категоризировать, какую модель угроз будет
использовать и т.д. Но это уже выходит за рамки нашей книги.
2. Сертификат соответствия ФСБ России. Некоторые организации также
вынуждены использовать исключительно сертифицированные средства
криптографической защиты (СКЗИ). У межсетевых экранов это VPN
функционал, в основе которого должен использоваться отечественный
алгоритм шифрования - ГОСТ VPN. Это отдельная сертификация, при
которой все устройство (а не только криптобиблиотеки) проверяется на
соответствие требованиям. Т.е. сертифицируется
программно-аппаратный комплекс (“железо” и “софт”). Это важный
момент, т.к. далеко не каждый МЭ с сертификатом ФСТЭК имеет
сертификат ФСБ. Какие компании должны использовать устройства с
ФСБ сертификатом? Как и в случае с ФСТЭК, все определяется при
классификации АС (автоматизированной системы). В зависимости от
типа АС определяются требования к средствам защиты. К примеру, если
компания работает с персональными данными, то они могут
передаваться во вне только по каналам, которые шифруются
ГОСТ-алгоритмом. Другой пример - если какая-то компания
подключается к ГИС (государственные информационные системы), то
эти каналы также можно шифровать только сертифицированными
средствами.
Чем же эти два сертификата могли навредить отечественному рынку
Network Firewalls? Есть хорошая поговорка: “Благими намерениями вымощена
дорога в ад”. Точно также вышло и с отечественной сертификацией средств
защиты. Если вдуматься, сама цель хорошая - обезопасить критическую для
страны инфраструктуру от возможного несанкционированного доступа с
помощью возможных программных или аппаратных закладок в средствах
защиты (например МЭ). Но реализация “немного” подвела. Особенности
сертификации привели к тому, что те самые критические инфраструктуры
вынуждены использовать далеко не самые лучшие на рынке средства защиты
(а иногда и морально устаревшие).
Так уж сложилось, что технологическими лидерами в сфере ИБ являются
именно зарубежные компании. И как правило, именно они способны
предоставить эффективную и, самое главное, актуальную защиту. Но
большинство вендоров оказались либо вообще неспособны получить
сертификат ФСТЭК на свои средства защиты (опять же, из-за особенностей
реализации процесса сертификации), либо получить его, но на старые версии
программного обеспечения (т.к. процесс сертификации занимает слишком

36
много времени, а сертификат выдается на строго определенную версию). Для
примера:
- Компания Check Point имеет сертификат ФСТЭК, но только на
определенную версию операционной системы - Gaia R77.30. В то время,
как актуальная версия на текущий момент уже Gaia R81.10. Разрыв в
версиях более чем 6 лет!
- Компания Fortinet также имеет сертификат ФСТЭК, но только на версию
5.4. Актуальная версия - 7.0. Здесь разрыв в версиях более 3-х лет.
- Компания Palo Alto Networks вообще отказалась от процедуры
сертификации, как и многие другие зарубежные вендоры.
Вообще, тема с сертификацией значительно сложнее. Есть еще история
с типами МЭ (А, Б, В, Г, Д) и классами защиты (1-6). Однако, это уже выходит за
границы нашей книги.
При этом стоит отметить, что на текущий момент, получить сертификат
соответствия ФСБ практически невозможно для зарубежного вендора. В
результате, на российском рынке появился гигантский сегмент
сертифицированных МЭ и IPS, где практически отсутствовала какая-либо
конкуренция. Рынок поделили несколько отечественных вендоров. А отсутствие
конкуренции всегда неизбежно сказывается на качестве. Зачем развивать
продукт, если его и так будут покупать, потому что есть закон!?
К счастью, последние несколько лет эта тенденция значительно
меняется. Российские вендора также включились в технологическую гонку.
Объективно, пока только между собой, т.к. до зарубежных лидеров все еще
очень далеко. Вот список наиболее заметных отечественных игроков в
сегменте МЭ:
1) Компания Код Безопасности со своим решением АПКШ Континент.
Имеют сертификат ФСТЭК и ФСБ.
2) Компания Инфотекс со своим решением ViPNet Coordinator, который
имеет оба сертификата. Также существует решение класса NGFW -
xFirewall (только ФСТЭК).
3) Компания UserGate с одноименным решением. На данный момент имеют
только ФСТЭК сертификат (ФСБ в планах).
Также на рынке присутствуют такие продукты как S-Terra, Ideco, Dionis, Рубикон,
Интернет Контроль Сервер, Traffic Inspector, Solar NGFW и т.д. И их количество
только растет. Связано это в первую очередь все с теми же февральскими
событиями. Рынок освободился от большого числа зарубежных игроков.
Образовался некий технологический вакуум и как результат - резко возросла
конкуренция среди отечественных игроков. Мы не сможем рассмотреть все
решения в рамках этой книги, но кратко опишем уже упомянутых наиболее
заметных игроков.

37
4.6.1 UserGate
Российская компания в сфере ИБ, которая была основана в 2006 году (с 2009
под брендом UserGate), в Новосибирске. На текущий момент имеют офисы в
Москве, Санкт-Петербурге и Хабаровске. Первым значимым продуктом
компании был классический Proxy-сервер. Разработка собственного NGFW
началась с 2011 года и было представлено в 2016. В основе NGFW лежит
собственная операционная система UGOS. В 2022 году был сделан релиз
версии 7.0, которая является наиболее значимой с точки зрения переработки и
новых функций. Компания UserGate активно развивает собственную
экосистему, которая носит название SUMMA. Входящие в нее компоненты:
- UserGate NGFW - ядро экосистемы. Межсетевой экран следующего
поколения. Компания активно работает над локализацией производства
и использованием электронных компонентов собственного производства
(зависимость от импортных компонентов все еще очень высока).
- UserGate Log Analyzer - централизованный сбор и обработка логов со
всех устройств UserGate. В одном из последних анонсов было заявлено,
что последняя версия (7+) также поддерживает сбор и корреляцию
событий от сторонних систем, что переводит данный инструмент в класс
SIEM систем.
- UserGate Management Server - централизованная система управления
шлюзами UserGate.
- UserGate Client - агентское решение класса NAC, которое предназначено
для проверки безопасности рабочих станций при удаленном
подключении. Например можно запретить VPN подключение для
компьютеров без антивируса. На текущий момент (лето 2023), решение
все еще в разработке.
По неофициальным данным, оборот компании в 2022 году составил более 1
млрд рублей. Имеется ФСТЭК сертификат (ФСБ сертификат на шифрование
каналов пока отсутствует).
Если дать личную оценку компании UserGate, то можно сказать, что это
один из наиболее заметных и активных игроков на российском рынке сетевой
безопасности. Отличная категоризация url ресурсов и приложений. Есть
проблемы со стабильностью и качеством технической поддержки. На текущий
момент это самый дорогой NGFW из отечественных решений (на уровне
зарубежных решений). Нет высокопроизводительных платформ (более 10
Гбит/с в режиме DPI). Буквально на днях (май 2023) было анонсировано
устройство UG FG, аппаратная платформа способная “переварить” более 150
Гбит/с трафика, но пока только в режиме МЭ, т.е. без DPI (глубокая инспекция
пакетов).

38
4.6.2 АПКШ Континент (Код Безопасности)
Код Безопасности - российская системообразующая ИТ-компания. Ключевая
деятельность - разработка ИБ средств. Изначально компания была лишь
подразделением системного интегратора Информзащита. В 2008 году было
принято решение о выделении в отдельную компанию. Центральный офис
находится в Москве. По оценке на 2022 год Код Безопасности занимал 7%
всего российского ИБ рынка. Ключевые решения Кода Безопасности:
- АПКШ Континент - российское NGFW решение. Одно из ключевых
преимуществ решения - наличие и ФСТЭК и ФСБ сертификатов. Это
позволяет закрыть сразу два требования: защита периметра и
построение шифрованных туннелей с использованием ГОСТ алгоритмов.
Также примечательно, что вендор выбрал иерархическую модель, т.е.
необходимость выделенного сервера управления (ЦУС). Для удаленных
VPN пользователей существует ZTN клиент, который позволяет перед
подключением проверять рабочии станции на соответсвтие политикам
безопаности.
- Континент TLS - решение предназначенное исключительно для
организации удаленного доступа пользователей (RA VPN), без функций
NGFW.
- Континент WAF - защита веб-приложений. Продукт создан на основе
стороннего решения SolidWall WAF.
- SecretNet - защита данных и инфраструктуры серверов и рабочих
станций (защита от вирусов, сетевых атак, несанкционированного
доступа и т.д.).
- Соболь - программно-аппаратный комплекс доверенной загрузки
операционной системы.
Выручка на 2022 год - 7,4 млрд рублей. В 2022 году Русатом приобрел 50%
акций. Вендор также активно работает над локализацией сборки устройств
(доля импортных компонент все еще высока).
Личное мнение - заложена более правильная и потенциально
выигрышная иерархическая архитектура (сервер управления - шлюз).
Компания явно старается перенять практики Check Point (что и не скрывается).
Есть проблемы со стабильностью, наличием нужных функций, процедурой
обновления и качеством технической поддержки. IPS с хорошим уровнем
блокировок. Более низкая цена в сравнении с UserGate. Нет
высокопроизводительных платформ (более 10 Гбит/с в режиме DPI).

4.6.3 xFirewall (ИнфоТеКС)

ИнфоТеКС - одна из старейших российских ИБ компаний, основанная в 1991
году. Входит в Топ-5 в России в сфере ИБ. Центральный офис находится в

39
Москве и еще более 9 представительств в других крупных городах страны.
Штат - более 1200 человек. Флагманским решением являются шлюзы VipNet
Coordinator предназначенные для шифрования каналов связи и межсетевого
экранирования. Обладают сертификатами ФСТЭК и ФСБ. Другие продукты
ИнфоТеКС:
- Защита рабочих станций;
- Средства шифрования данных;
- Средства мониторинга и централизованного управления;
- Программно-аппаратные комплексы обнаружения вторжений (VipNet
IDS);
- И т.д.
Одним из новейших продуктов компании является решение класса NGFW -
VipNet xFirewall 5. На текущий момент (лето 2023) обладает только
сертификатом ФСТЭК. По субъективному мнению, xFirewall занимает
наименьшую долю рынка в сравнении с описанными выше вендорами, пока
уступая как в техническом, так и в маркетинговом плане.

4.6.4 PT NGFW (Positive Technologies)

Буквально за пару дней до написания этого параграфа (19 мая 2023) был
презентован прототип еще одного МЭ - PT NGFW. Это межсетевой экран
следующего поколения от другой хорошо известной российской ИБ компании -
Positive Technologies.
Компания была основана в 2002 году. Штаб-квартира находится в Москве
и еще 6 представительств в других городах. Число сотрудников более 1500.
Оборот компании в 2022 году составил почти 14 млрд рублей (на 95% больше
чем в 2021). Ключевые продукты компании:
- PT SIEM - система сбора, анализа и корреляции событий. Одно из
лидирующих решений на рынке.
- XSpider - сканер уязвимостей и первый коммерческий продукт PT.
- MP8 - система управления уязвимостями.
- MP VM - система управления уязвимостями, которая должна сменить
MP8.
- PT NAD - система анализа трафика. Решение класса NTA/NDR.
- PT Sandbox - “песочница”, позволяет бороться с атаками нулевого дня.
- PT WAF - защита веб-приложений.
- И т.д.
Анонсированный NGFW пока лишь прототип с двумя ключевыми
функциями - определение пользователей и приложений. В разработке PT
NGFW упор делается на быстродействие. Прототип способен выполнить DPI 40
Гбит/с трафика, из них 10 Гбит/с в режиме SSL инспекции (и все это на

40
однопроцессорной системе). В решение заложена иерархическая архитектура,
т.е. выделенный сервер управления и шлюз безопасности.
Пока рано говорить о качестве этого NGFW, т.к. большинство функций
еще в разработке, а коммерческий релиз ожидается ближе к 2025 году. Но
учитывая опыт и экспертизу Positive Technologies есть надежда на
качественный продукт.

4.7 CPU, ASIC, FPGA

Список лидеров довольно примечательный (Check Point, Palo Alto, Fortinet), т.к.
эти три компании представляют три абсолютно разных подхода к обработке
трафика с технической точки зрения - CPU, FPGA и ASIC. У большинства сразу
возникает вопрос: “А что лучше?”. Ответ не так очевиден. Давайте рассмотрим
их плюсы и минусы.

CPU
Central Processing Unit - Центральное обрабатывающие устройство или просто
“процессор”. CPU для обработки сетевого трафика имеет свои плюсы и минусы:
+ Максимальная гибкость. CPU это универсальное устройство. На его
основе работает вся вычислительная техника - компьютеры, смартфоны,
смарт-телевизоры, смарт-часы и т.д. Самое главное достоинство с точки
зрения обработки трафика - в любой момент можно изменить программу
обработки и получить совершенно новые функции, как с точки зрения
безопасности (новые типы проверки), так и с точки зрения
маршрутизации (новые протоколы маршрутизации или инкапсуляции).
Если вдруг обнаружится какой-то “баг” или уязвимость, то это можно с
легкостью исправить переписав код.
+ Максимальная функциональность. Выполняемые функции зависят
исключительно от вашей фантазии. Написание программ под CPU
значительно проще, т.к. можно использовать различные языки
программирования (От “C” до “python”).
~ Средняя цена. CPU это НЕ дешевое устройство, но стоимость
значительно ниже, чем у FPGA. Практически все вендора используют
сторонние разработки (Intel, AMD, Broadcom, Marvell, Nvidia, Qualcomm и
т.д.), т.е. не разрабатывают сами. В каком-то смысле это разгружает
компании, но с другой стороны, ставит в зависимость от чужих
технологий.
- Низкая производительность. CPU “медленнее”, чем ASIC и FPGA.
Современные процессоры это высокотехнологичные устройства. Могут
работать на высоких частотах, иметь множество ядер, множество
специализированных сопроцессоров и т.д. Учитывая удобство работы с
CPU, было бы здорово использовать только их. Но объемы

41
 передаваемого трафика тоже быстро растут. Иногда нужно обрабатывать
сотни гигабит или даже десятки терабит. Делать это на CPU дорого, а
иногда и невозможно (или просто нецелесообразно).

ASIC
Application-Specific Integrated Circuit) - Интегральная схема специального
назначения. Плюсы и минусы ASIC-ов для обработки сетевого трафика:
- Нулевая гибкость. В отличии от CPU, перепрограммировать ASIC
невозможно. После того как их “запекли” на заводе, их уже ни изменить,
ни дополнить, ни исправить (даже в случае обнаружения серьезного
“бага” или уязвимости).
- Низкая функциональность. ASIC это узкоспециализированная
микросхема функционал которой определяется еще при проектировании.
Как было написано выше, набор функций не изменить. Более того, в силу
архитектуры, некоторые функции в принципе невозможно реализовать на
ASIC.
+ Низкая цена. ASIC микросхемы гораздо дешевле в производстве, хотя и
требуют бОльшей ответственности при подготовке прототипа.
+ Максимальная производительность. ASIC микросхемы самые “быстрые”
в сравнении с CPU и FPGA. ASIC-и идеально подходят для обработки
большого объема трафика, там где не требуется глубокое
инспектирование.

FPGA
Field-Programmable Gate Array - Программируемая логическая интегральная
схема (ПЛИС). FPGA также имеют свои плюсы и минусы:
+ Средняя гибкость. Являются чем-то средним, между CPU и ASIC. FPGA
можно перепрограммировать. Это, в свою очередь, немного упрощает
подготовку к производству, т.к. в случае обнаружение проблем, их можно
будет исправить. Благодаря этому, продукты основанные на FPGA,
выходят на рынок быстрее, чем на ASIC.
~ Средняя функциональность. FPGA функциональнее, чем ASIC. И эти
функции можно менять. Однако FPGA серьезно уступает в этом плане
CPU. Для программирования используются специализированные языки
(Verilog, VHDL).
- Высокая цена. Производство FPGA значительно дороже чем CPU или
ASIC. Вендоров, производящих FPGA значительно меньше.
+ Хорошая производительность. Производительность чуть ниже, чем у
AISC, но ЗНАЧИТЕЛЬНО выше чем у CPU. В целом, FPGA чаще
используют как макетную микросхему, на которой можно протестировать
логику, а на ее основе запустить производство ASIC. Но есть и

42
 исключения, когда FPGA используют в масштабном производстве (Palo
Alto Networks).

Вот отличная картинка, которая демонстрирует плюсы и минусы этих трех

решений:

Источник - https://nag.ru/material/37503

Как видно, идеального варианта не существует. Можно было бы рассказать еще

про Network Processors (сетевые процессоры, которые объединяют в себе и
CPU и ASIC) или про новый тип программируемых ASIC. Но в этом случае мы
бы сильно ушли от изначальной темы.
А что же (и как) используют наши лидеры? Как написано выше, у них
разные подходы:
- Check Point, исторически, использует CPU общего назначения, x86
архитектуры. Сейчас это уже многоядерные CPU, а некоторые модели
шлюзов и вовсе содержат в себе два физических CPU. На мой
субъективный взгляд, Check Point лучше всех научились работать с CPU
и выжимать из него максимум производительности. Они обладают
множеством уникальных технологий, таких как CoreXL (работа с
многоядерными CPU) или SecureXL (механизм ускорения обработки
трафика с помощью функции hardware offload). Такой подход позволяет
им очень быстро обновлять софт, внедрять новые функции или
исправлять критические уязвимости, “баги”. Но, к сожалению, CPU все же
сильно ограничивает производительность межсетевых экранов. Это
подтолкнуло Check Point искать другие методы. Они одни из первых
стали применять многосерверные шасси (набор серверов объединенных
в одну сетевую фабрику с балансировкой нагрузки между ними), а позже

43
 и вовсе уникальную для рынка технологию - Check Point Maestro. В
основе Maestro лежит оркестратор (физический
коммутатор-балансировщик), к которому подключаются обычные шлюзы.
Это позволяет добиться колоссальной пропускной способности в
несколько Терабит/с при всех включенных механизмах безопасности
(Antivirus, IPS, Anti-Bot и т.д.). Плюс, как было написано ранее, Check
Point также дополнил свою линейку моделями с модулями NVidia (ASIC
микросхемы).
- Fortinet идет по пути ASIC. В основе шлюзов безопасности лежат их
собственные высокопроизводительные чипы (FortiSOC), которые
объединяют в себе сразу несколько технологий: Network Processor (на
основе ASIC), Content Processor (также на ASIC) и процессор общего
назначения (CPU). Такой концепт позволил создать дешевый и
максимально быстрый “чип”, который устанавливается как в младшие,
так и в старшие модели шлюзов. Разная комбинация чипов и их
количество определяет итоговую производительность устройства. Стоит
отметить, что Fortinet тоже использует CPU, но бОльшую часть
обработки трафика старается перенести на быстрые ASIC-и, которые
обновляются практически каждый год и обзаводятся новым
функционалом. Как было написано выше, Fortinet производит самые
доступные устройства среди лидеров. Бытует множество споров по
поводу реальной производительности шлюзов Fortinet, т.к. не всегда и
далеко не весь трафик можно обработать с помощью
быстродействующих ASIC микросхем. Часть аргументов справедливы,
часть - надуманы. Но есть важный факт - количество клиентов Fortinet
непрерывно растет, причем не только в сегменте малого бизнеса, но и в
крупном “энтерпрайз” сегменте. Т.е. клиенты “голосуют деньгами” за
решения Fortinet.
- У Palo Alto Networks свой подход - использование FPGA. Они попытались
вобрать все самое лучшее от CPU и ASIC. Этот подход позволил им
добиться огромной производительности при максимально глубокой
инспекции трафика. Особенности FPGA также позволяют им быстро
внедрять новые функции и оперативнее выводить решения на рынок. Во
многом именно это позволило им стремительно захватить американский
рынок и держаться в ТОП-е уже более 10 лет. Но, как вы помните, FPGA
это дорогая “штука”, поэтому шлюзы Palo Alto одни из самых дорогих в
представленном рейтинге. Здесь необходимо добавить, что Palo Alto, как
и Fortinet, тоже используют CPU общего назначения, но стараются
бОльшую часть трафика обрабатывать именно на FPGA по понятным
причинам.

44
 Чей же подход лучше? И здесь я затрудняюсь дать однозначный ответ.
Все три подхода имеют свои достоинства и недостатки. И все три компании
используют свой подход по максимуму. В конечном итоге, главное чтобы
устройство обеспечивало заявленные функции и справлялось с требуемым
объемом трафика. А как они это делают - не так важно.

4.8 Ключевые проблемы Network Firewalls

И так, мы узнали, что такое NGFW, кто является лидером и какие подходы по
обработке трафика существуют. Но в чем же ключевые проблемы этого класса
средств защиты? Проблем на самом деле много, но я бы выделил две самые
главные:

Полную версию приобретайте на сайте netskills.ru

45