Сетевые функции
Режимы работы
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Работа в режиме L3 (Routing Mode) | Да | Да | Да | Да |
| Работа в режиме L2 (Transparent Mode) | Да | Да | Нет | Да |
Маршрутизация
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Режим получения динамических маршрутов при работе в кластере | Активная нода | Обе ноды | Маршруты получает активная нода. При переключении кластера пассивная нода получает маршруты | Активная нода |
| Поведение МСЭ при ассиметричной маршрутизации | Трафик блокируется | В зависимости от настроек | Трафик блокируется | Трафик блокируется |
| Возможность указывать исходящий интерфейс при настройке маршрутизации | Да, с ограничениями | Да | Да, с ограничениями | Нет |
| Приоритизация маршрутов | Да | Да | Да | Да |
| Поддержка Fullview (маршрутизация) | Да, с ограничениями | Да | Да | Нет |
| ECMP | Да | Да | Да, с ограничениями | Да |
| BFD | Нет | Да | Да, с ограничениями | Нет |
| Протоколы маршрутизации | OSPF, BGP | OSPF, BGP, RIP, PIM | OSPF, BGP | OSPF, BGP |
| Ограничения для поддерживаемых динамических протоколов | Нет | Нет редистрибуции из BGP в OSPF | Нет | Для OSPF: 1. Можно указать не более 128 сетей, в которых осуществляется обмен информацией по протоколу OSPF. 2. На каждом интерфейсе можно создать не более 255 ключей с уникальным keyid и только один пароль |
Интерфейсы
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| VXLAN | Нет | Да | Нет | Нет |
| LACP | Да | Да | Да | Да |
Внешние каналы
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Резервирование канала | Да | Да | Да | Да |
| Сколько ISP поддерживается | По количеству физических интерфейсов | Без ограничений | По количеству физических интерфейсов | По количеству физических интерфейсов |
| Статическая балансировка трафика | Да | Да | Да | Да |
| Динамическая балансировка трафика | Да | Нет | Да | Да |
| Механизмы мониторинга физических линков | ICMP Probing | Link up\down | ICMP, Round-Robin | Используется проверка состояния шлюзов (Dead Gateway Detection, DGD) |
| Работа ISP redundancy с VPN | Да, с ограничениями | Да | Да | Да |
| Задание приоритета для линка | Да | Да | Да | Да |
Базовые функции
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Поддержка виртуальных контекстов | Нет | Нет | Нет | Нет |
| VRF | Нет | Да | Нет | Нет |
| Настройка Proxy ARP | Ручная настройка | Ручная настройка | Proxy ARP включен по умолчанию, изменить нельзя | Нет |
| Fail Close/Fail Open (настройка поведения устройства при высокой нагрузке) | Да | Нет | Нет | Нет |
| Поведение устройства при обновлении правил/применении политики | В зависимости от настроек: разрывает сессии или сохраняет текущие сессии | В зависимости от настроек: разрывает сессии или сохраняет текущие сессии | Устройство продолжает обрабатывать трафик, сессии не разрываются | Правила/политики применяются без перерывов в обслуживании |
| Netflow | Да | Да | Нет | Нет |
QoS
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Применение QoS политик отдельно для интерфейсов | Да | Нет | Да, с ограничениями | Нет |
| Применение QoS политик для зон (zones) | Нет | Да | Да, с ограничениями | Нет |
Функции МСЭ
МСЭ (L4)
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Использование зон безопасности в политиках ACL | Нет | Да | Да | Да |
| Использование интерфейсов в политиках ACL | Да, с ограничениями | Да, с ограничениями | Да | Да |
| Возможность включения интерфейсов в зоны | Нет | Да | Да | Да |
| Drag&Drop при работе с объектами и политиками | Да | Да | Нет | Да, с ограничениями |
| Stateful Inspection | Да | Да | Да | Да |
| Ускорение обработки трафика | Да | Нет | Нет | Да |
| NAT-правила для определенных правил МСЭ | Да | Нет | Нет | Нет |
| Расписание действия правил МСЭ | Да | Да | Да | Да |
| Поддержка временных правил МСЭ | Нет | Да | Нет | Нет |
| Просмотр Implicit- правил | Да, с ограничениями | Да | Да, с ограничениями | Да |
| Управление Implicit- правилами | Нет | Нет | Нет | Нет |
| Hit Count для каждого правила | Нет | Да | Да | Да |
| Поиск правил по объекту | Да | Да, с ограничениями | Да | Да, с ограничениями |
| Проверка правил на дубликаты | Нет | Нет | Нет | Да, с ограничениями |
| Объекты для создания правил | IP host, IP range, IP- сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные) | Зона, Адрес источника, Список адресов, Список GeoIP, Список доменов, Пользователь, Группа пользователей | IP host, IP range, Пользовательские группы, Сервисы и порты, Протоколы, Типы приложений, Домен, Список стран | IP host, IP range, IP network, DNS-имена, Интерфейсы и Группы интерфейсов, Сервисы и порты, Прикладные протоколы, Пользователи, Приложения и Группы приложений |
NAT
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Очередность выполнения NAT | Используется политика NAT. Правила обрабатываются по порядку сверху вниз, правила DNAT имеют приоритет | По каждому типу правил правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нем условия | 1. SNAT. 2. DNAT | По порядку размещения правил NAT, сверху вниз |
| Возможность выбора интерфейса, на котором будет осуществляться NAT | Да | Да, с ограничениями | Да | Нет |
| Source NAT | Да | Да | Да | Да |
| Destination NAT | Да | Да | Да | Да |
| Bidirectional NAT | Да | Да | Да | Да |
| NAT inside VPN | Да | Да | Да | Да |
PBR (Policy Based Routing)
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| PBR | Да | Да | Да | Да |
| Отказоустойчивый линк с провайдером при использовании PBR | Да | Нет | Да | Да |
| Совместная работа с GRE | Нет | Да | Нет | Нет |
| Совместная работа с Route-based VPN | Нет | Нет | Да | Да |
Функции NGFW/UTM
IPS
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Возможность выбора определенной группы сигнатур для защиты | Да | Да | Нет | Да |
| Создание исключений | Да | Да | Да | Да, с ограничениями |
| Создание кастомных сигнатур | Да | Да | Да | Нет |
| Наличие документации, описывающей синтаксис, используемый при написании сигнатуры | Да | Да | Да | Нет |
Защита от DoS
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Защита от DoS | Да | Да | Да | Да, с ограничениями |
| Функционал защиты от DoS в правилах IPS | Да | Да | Да | Да |
Application Control
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Ограничение трафика пользователя или группы пользователей в нерабочее или обеденное время | Да | Да | Да | Да |
| Ограничение трафика IP-адресу или группе IP- адресов в нерабочее или обеденное время | Да | Да | Да | Да |
| Поддержка сложных правил. Например: Разрешить трафик на YouTube, но запретить оставлять комментарииРазрешить трафик VK, но запретить пользоваться Multimedia | Да | Да, с ограничениями | Да, с ограничениями | Нет |
| Добавление собственных приложений | Да, с ограничениями | Да | Нет | Нет |
| Конфигурация сервисов на определенных портах | Да | Да | Нет | Да |
| Политика реализации Application Control | Blacklist, Whitelist | Blacklist | Blacklist, Whitelist | Whitelist |
| Политика для трафика — «Неизвестный или не мог быть опознан устройством» | Определяется последующим правилом для данного трафика | Разрешить, Запретить | Неопознанный трафик в модуле Контент-фильтрация | Определяется последующим правилом для данного трафика |
| Страница оповещения для пользователя (блокировка) | Да, с ограничениями | Да | Нет | Нет |
| Страница оповещения для пользователя (предупредить и продолжить) | Нет | Да | Нет | Нет |
| Блокировка QUIC- протокола | Да | Да | Да | Нет |
Antivirus
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Проверка почтового трафика SMTP(S), POP3, IMAP | Нет | Да | Да, с ограничениями | Нет |
| Использование сторонних сигнатур Threat Feed | Да | Да | Нет | Нет |
| Страница блокировки сайта в случае наличия вируса на странице (URL-категория) | Да | Да | Да | Нет |
| Условия работы антивируса | Проверка только трафика инспектируемого SSL Inspection, протоколы HTTP и HTTPS | Нет | ClamAV — без дополнительных условий. Kaspersky — при активации дополнительной лицензии | Нет |
| Проверка скачиваемых файлов | Да | Да | Да | Нет |
| Проверка FTP, SFTP, SCP | Нет | Нет | Нет | Нет |
| Проверка SMB | Нет | Нет | Нет | Нет |
| Типы файлов | Более 40 типов файлов | По типам файлов не дифференцируется. Проверяется hash файлов | Зависит от выбранного антивируса. Поддерживается более 90 типов файлов | Нет |
| Проверка файлов в архивах без паролей | Да | Да | Да | Нет |
| Проверка файлов в архивах с паролями | Нет | Нет | Нет | Нет |
| Выбор действий для определенных типов файлов | Да | Нет | Нет | Нет |
| Антивирусный движок | Проверка по хешам | Проприетарный | Kaspersky, ClamAV | Нет |
| Поддержка добавления пользовательских хешей | Да | Да | Нет | Нет |
SSL Inspection
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Поддерживаемые модули для SSL Inspection | Антивирус, WEB- категоризация, Feeds, ICAP Client | Контентная фильтрация, IPS, AppControl | Контентная фильтрация, Антивирус, ICAP | Нет |
| Поддерживаемые протоколы | HTTPS | HTTPS, SMTPS, POP3 | HTTPS | Нет |
| Поддержка нестандартных портов для поддерживаемых протоколов | Да | Нет | Нет | Нет |
| Возможность использовать сертификаты стороннего УЦ | Нет | Да | Да | Нет |
| Инспектирование для отдельных пользователей | Да | Да | Да | Нет |
| Инспектирование для отдельных сайтов | Да | Да | Да | Нет |
| Поддержка Wildcard- сертификатов | Да | Да | Да | Нет |
| Client-Side (Outbound SSL Inspection) | Да | Да | Да | Нет |
Веб-фильтрация
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Server-Side (Inbound SSL Inspection) | Нет | Да | Нет | Нет |
| Использование собственных или сторонних списков URL | Да, обновление в ручном или автоматическом режимах | Да, обновление в ручном или автоматическом режимах | Можно загружать собственный список. Неудобный формат ввода в виде одной строчки, но используется автоматический парсинг данной строки | Загрузка списков URL не поддерживается, можно создавать группы объектов, добавляя каждый URL вручную |
| Тип используемой базы URL | Локальная | Локальная | Локальная база (обновляемая) | Локальная, используется в модуле Контроль приложений |
| Создание кастомных URL-категорий | Да | Да | Да | Нет |
| Переопределение ка тегории URL | Да, с ограничениями | Да | Да, с ограничениями | Нет |
| Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий | Да | Да | Нет | Нет |
| Настройка доступа к определенным URL/доменам | Да | Да | Да | Да |
| URL Lookup (проверка принадлежность URL к определенной категории) | Нет | Да | Да | Нет |
| Страница блокировки/ предупреждения | Да | Да | Да | Нет |
| Какие списки URL использует производитель | SkyDNS, TI feeds (Kaspersky, КБ, ЦБ) | Собственные списки производителя | SkyDNS | Собственные |
Proxy (explicit/transparent)
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Explicit Proxy | Нет | Да | Да | Да |
| Transparent Proxy | Да | Да | Да | Да |
| Модули, работающие вместе с HTTPS Proxy | Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей | Контентная фильтрация, IPS, AppControl | Контентная фильтрация, Антивирус, ICAP | Нет |
| Авторизация Kerberos | Да | Да | Да | Нет |
| Страница блокировки на Captive Portal | Да | Да | Да | Да |
| Captive Portal для авторизации на Proxy | Да | Да | Да | Да |
Content Filtering
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Типы файлов для фильтрации | Больше 40 категорий, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash- видео, Active-X, Torrent-файлы, Документы). Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке | Видео, документы, звуки и музыка, картинки, приложения, JS | Аудиофайлы, Видеофайлы, Документы, Архивы, Torrent-файлы, Flash- видео, исполняемые файлы | Более 95 типов файлов |
| Блокировка файлов в архивах | Нет | Нет | Нет | Да |
| Блокировка архивов внутри архивов | Да | Нет | Нет | Нет |
| Запрет загрузки файлов | Да | Да | Да | Да, с ограничениями |
| Запрет отправки файлов | Да | Да | Да, с ограничениями | Нет |
Anti Bot
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Типы защищаемого трафика | Пользовательский трафик, трафик опубликованных серверов | Пользовательский трафик, трафик опубликованных серверов | Пользовательский трафик, трафик опубликованных серверов | Пользовательский трафик, трафик опубликованных серверов. Защита от Botnet реализована в модуле IPS |
| Частота обновлений | Динамично: от нескольких раз в день до нескольких раз в неделю | Раз в неделю | Несколько раз в день | Один раз в день |
| Место хранения баз | Загружаются с сервера обновлений, хранятся локально на ЦУС | Локально | Локальная база (обновляемая) | Локально |
| Выявление трафика RAT | Да | Нет | Да | Да, с ограничениями |
| Выявление обращений к вредоносными URL и доменам | Да | Да | Да | Да, с ограничениями |
| Выявление IRC- коммуникаций | Нет | Да, с ограничениями | Да | Да, с ограничениями |
Защита почтового трафика
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Защита почты | Нет | Да | Да | Нет |
| Поддерживаемые протоколы | Нет | POP3 и SMTP | IMAP(S), POP3(S) | Нет |
| Антиспам | Нет | Да | Да | Нет |
| Антивирусная проверка писем | Нет | Да | Да, с ограничениями | Нет |
| MTA | Нет | Нет | Да | Нет |
| DMARC/DKIM/SPF | Нет | Нет | Да, с ограничениями | Нет |
| Поддержка протоколов с шифрованием | Нет | Да | Да | Нет |
| Загрузка сторонних списков спам-сайтов | Нет | Да | Нет | Нет |
Remote Access VPN
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| ОС для клиента | Windows, Linux, Android, iOS, MacOS, Аврора | Windows 8/10 | Windows. MAC OS планируется в версии 17. Linux планируется в версии 18 | Linux, Windows, Android, iOS, MacOS, Аврора |
| Способ получения клиента (ПО) | Через дистрибутив или сайт | Через дистрибутив | Через дистрибутив или личный кабинет пользователя на Ideco NGFW | Сайт вендора, поставка на CD |
| Автозапуск при включении ПК | Да | Да, с ограничениями | Да | Да |
| Проверка трафика на шлюзе | Да | Да | Да | Да |
| Проверка трафика на клиентском устройстве | Нет | Да | Да | Да, с ограничениями |
| Compliance Check клиента | Да | Нет | Нет | Да |
| Централизованная установка клиента | Нет | Да | Да | Да |
| Алгоритмы шифрования | ГОСТ | AES | AES256-GCM, AES256 | ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018 |
WEB-portal VPN
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Кастомизация портала | Нет | Да | Нет | Нет |
| Типы приложений для публикации | Нет | HTTP, HTTPS, FTP, SSH, RDP | Нет | Нет |
| Публикация нескольких порталов (на разных IP- адресах) | Нет | Нет | Нет | Нет |
| Распространение через портал Remote Access Client | Нет | Нет | Да | Нет |
| Публикация собственных приложений на портале | Нет | Нет | Нет | Нет |
| Авторизация пользователя по сертификату | Нет | Да | Нет | Нет |
| Публикация портала на разных URL | Нет | Да | Нет | Нет |
| Поддержка 2FA | Нет | Да | Нет | Нет |
2FA
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| 2FA + Remote Access VPN с клиентом | Реализовано через интеграцию с мультифактор.ру и Avanpost MFA+ | Radius, TOTP, SMS | Radius (при интеграции с Multifactor), SMS, TOTP | Реализовано через интеграцию с мультифактор.ру в рамках отдельного продукта ViPNet Сервер многофакторной аутентификации |
| 2FA + Remote Access VPN с SSL-порталом | Нет | Radius, TOTP, SMS | Нет | Нет |
Site-to-Site VPN
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Поддерживаемые протоколы | Проприетарный протокол | IKEv1, IKEv2 | IKEv2, IPsec | IPlir |
| DPD / Tunnel Test | Нет | Да | Нет | Да |
| Инструменты диагностики VPN- соединений | Диагностика сети (ping, tracert, arp), просмотр соединений, командная строка (netstat, tcpdump и др.) | Нет | Виджеты панели мониторинга, утилиты командной строки (ping, host, nslookup, tracepath, tcpdump, arping, ss (аналог netstat)) | Группа команд iplir, диагностика сети (ping, tracert, arp), командная строка (netstat, tcpdump и др.) |
| SA lifetime | Нет | Да | Да, с ограничениями | Нет |
| Аутентификация | Да | Да | Да | Да |
| Исключение из VPN- трафика на основании сервиса | Да | Да | Нет | Да |
| Алгоритмы шифрования | ГОСТ | DES; 3DES; AES128, AES192, AES256 | AES256-GCM, AES256 | ГОСТ 28147-89, ГОСТ 34.12-2018, ГОСТ 34.13-2018 |
| NAT-T (NAT Traversal) | Да | Да | Да | Да |
| IKEv1 Aggressive Mode | Нет | Да | Нет | Нет |
| PFS (Perfect Forward Secrecy) | Нет | Нет | Да | Да, с ограничениями |
| NAT внутри VPN | Да | Да | Да | Да |
| GRE over IPsec | Нет | Да | Нет | Да, с ограничениями |
| IPsec over GRE | Нет | Да | Нет | Да, с ограничениями |
| VPN со сторонними вендорами | Нет | Да | Да | Нет |
SD-WAN
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| SD-WAN | Нет | Нет | Нет | Нет |
| Распределение пользователей (локальных и доменных) по каналам | Нет | Нет | Нет | Нет |
| Распределение трафика приложений/сайтов по каналам | Нет | Нет | Нет | Нет |
| Мониторинг трафика | Нет | Нет | Нет | Нет |
| IPsec over SD-WAN | Нет | Нет | Нет | Нет |
| Интеграция с модулями URL Filtering / Application Control | Нет | Нет | Нет | Нет |
| Типы фильтров в политиках SD-WAN | Нет | Нет | Нет | Нет |
Кластеризация
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Механизмы резервирования кластера | Проприетарный протокол | VRRP | Проприетарный протокол | Проприетарный протокол |
| VIP-адрес и адреса физических интерфейсов должны принадлежать одной подсети | Да | Нет | Нет | Да |
| Дополнительная лицензия для кластера | Нет | Нет | Нет | Нет |
| Добавление сетевых интерфейсов после сборки кластера | Да | Да | Нет | Да |
| Поведение при отключении сетевого интерфейса | Переключение мастер-ноды | Переключение мастер-ноды | Переключение мастер-ноды | Переключение мастер-ноды |
| GARP | Да, с ограничениями | Да | Да | Нет |
| Время переключения между нодами | Менее 1 секунды | Менее 1 секунды | 5-15 секунд | Менее 15 сек. |
| Потери пакетов при выходе из строя одного линка при использовании LoadSharing Active/Active | При параметрах по умолчанию: до 50 icmp пакетов; есть настройки, позволяющие изменить периодичность проверки работоспособности канала | 1-2 пакета | 2-3 пакета | Нет |
| Синхронизация сессий | Да | Да | Нет | Да |
| Кластер системы централизованного управления | Да | Да | Нет | Нет |
| Кластер системы централизованного логирования | Да | Нет | Нет | Нет |
| Просмотр состояния кластера | Да | Да | Да | Да |
| Тип кластера | Active-Passive | Active-Passive, Active- Active | Active/Standby | Active-Passive |
| VMAC | Нет | Нет | Нет | Да |
| Количество нод кластера | 2 | До 4 | 2 | 2 |
Централизованное управление
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Выделенный сервер управления | Да | Да | Да | Да |
| Импорт правил/политик с локального МСЭ | Нет | Да | Нет | Нет |
| Кластер сервера управления | Да | Да | Нет | Нет |
| Установка на ВМ | Да | Да | Да | Да |
| Продолжит работу | Продолжит работу | Продолжит работу | Продолжит работать | |
| Поведение МСЭ при отключении сервера управления | Да | Да | Да | Да |
| Экспорт и резервное копирование политик | Да | Да | Нет | Да |
Централизованное логирование
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Выделенный сервер логирования | Да | Да | Локальное логирование, отправка на сторонний сервер через Syslog | Локально, централизованно |
| Режим логирования | Локально, централизованно | Локально, централизованно | Да | Да |
| Автоматическая выгрузка логов на сторонний сервер | Да | Да | RAW формат в БД ClickHouse | RAW text log, SQLite |
| Формат хранения логов | Логи хранятся в БД. Есть возможность выгрузки в виде файлов xml, csv | Логи хранятся в БД | Да | Да |
| Регистрация и управление зарегистрированным и инцидентами | Да, с ограничениями | Да | МЭ, IPS/IDS, Web Application Firewall, Контент-Фильтр, Контроль приложений | Все модули |
Логирование и отчёты
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Модули с логированием | Все модули | Все модули | Нет | Нет |
| Выгрузка логов | Да | Да | Да | Да |
| Отправка логов на сторонний сервер | Да | Да | Да | Да |
| Типы отчеты | Встроенные, пользовательские | Встроенные, пользовательские | Встроенные, пользовательские | Нет |
| Автоматические отчеты (по расписанию) | Да | Да | Да | Нет |
| Типы логирования (вся сессия, начало сессии, выбранное кол-во пакетов и т. д.) | В зависимости от компонента | Начало сессии либо все пакеты сессии с возможностью установки ограничений на количество логируемых пакетов в единицу времени | Вся сессия | Регистрировать все IP-пакеты или только заблокированные IP- пакеты |
| Виджеты для мониторинга трафика | Да | Да | Да | Да |
LDAP
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Использование пользователей из LDAP для создания политик | Да | Да | Да | Да |
| Права УЗ для интеграции с LDAP | Чтение домена | Администратор домена | Права на чтение каталога | Чтение домена |
| Поддержка более одного домена | Да, с ограничениями | Да | Да | Нет |
| Требования к ПО для LDAP- аутентификации | Дополнительные требования не предъявляются | Дополнительные требования не предъявляются | Дополнительные требования не предъявляются | Дополнительные требования не предъявляются |
| Просмотр импортированных пользователей | Да, с ограничениями | Да | Да | Да |
| Kerberos | Да | Да | Да | Нет |
| Proxy- аутентификация | Да | Да | Да | Да |
| Прозрачная аутентификация | Да | Да | Да | Нет |
| Версия ОС LDAP- сервера | Windows Server 2008 и старше | Windows Server 2008 и старше | Windows Server 2008 R2, 2012, 2016, 2019, 2022; Samba DC версии 4.0 и старше | Windows Server 2016, Windows Server 2012 R2 |
Radius
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| Интеграция с Radius | Нет | Да | Да | Да, с ограничениями |
| Протоколы аутентификации при интеграции с Radius | Нет | Chap | Да | Нет |
| Использование нескольких Radius- серверов | Нет | Да | Да | Нет |
| Приоритизации Radius-серверов | Нет | Нет | Нет | Нет |
ICAP
| Функция | Континент 4 | USERGATE 7.1 | IDECO 18 | VIPNET COORDINATOR HW5 |
|---|---|---|---|---|
| ICAP Server | Нет | Нет | Нет | Нет |
| ICAP Client | Да | Да | Да | Да |
| Возможность поддержки ICAP без установки дополнительных модулей | Да | Да | Да | Да |
| Необходимость указывать VIP-адрес в качестве ICAP Server адреса на стороне клиентов при использовании VIP-адреса для кластера | Нет | Нет | Да | Нет |
Выводы
- Континент 4:
- Отличается поддержкой ГОСТ-алгоритмов, что важно для организаций, работающих в соответствии с требованиями российских стандартов безопасности.
- Слабые стороны включают отсутствие SD-WAN и ограниченные возможности кластеризации.
- UserGate 7.1:
- Выделяется хорошей интеграцией с LDAP и Radius, а также широким функционалом для управления политиками.
- Имеет ограничения в QoS и некоторые недостатки в реализации Application Control.
- Ideco NGFW V18:
- Поддерживает современные протоколы VPN, включая WireGuard.
- Недостатки: отсутствие полноценного SD-WAN и необходимость улучшения в модуле инспекции SSL.
- ViPNet Coordinator HW5:
- Хорошо подходит для кластеризации и работы с ГОСТ-алгоритмами.
- Ограниченные возможности по некоторым функциям NAT и Application Control.
Рекомендации
- Для задач, связанных с соответствием ГОСТ, предпочтителен Континент 4 или ViPNet Coordinator HW5.
- Если приоритетом являются гибкость в настройке политик и поддержка современных протоколов VPN, стоит обратить внимание на UserGate и Ideco.