Сравнение NGFW: С-Терра, Ideco, Континент — таблица функций и возможностей
| Сетевая функция | С-Терра Экран-М 1.0 | Ideco NGFW v18 | Континент 4.1.9 |
|---|---|---|---|
| Работа в режиме L3 (Routing Mode) | ✅ | ✅ | ✅ |
| Работа в режиме L2 (Transparent Mode) | ✅ | ❌ | ✅, с ограничениями |
| Режим получения динамических маршрутов при работе в кластере | Анонсы получают обе ноды – активная и пассивная | Получает только активная нода | Анонсы только на активной ноде |
| Поведение МСЭ при асимметричной маршрутизации | Пользовательский трафик обрабатывается и блокируется, базовая маршрутизация работает, но политики отрабатывают частично | Трафик блокируется | Трафик блокируется (антиспуфинг по умолчанию) |
| Возможность указывать исходящий интерфейс при настройке маршрутизации | ✅ | ❌ | ✅, с ограничениями |
| Приоритизация маршрутов | ✅ | ✅ | ✅ |
| Поддержка FullView (маршрутизация) | ✅ | ✅ | – |
| ECMP | ✅ | Да, с ограничениями | ✅ |
| BFD | ✅ | Да, с ограничениями | ✅ |
| Протоколы маршрутизации | OSPF, BGP | OSPF, BGP | OSPF, BGP |
| Ограничения для поддерживаемых динамических протоколов | Программных ограничений нет | Используется FRRouting 8.5.3. Ограничения в интерфейсе (напр., нет аутентификации BGP/OSPF) | Используется bird 2.13.1. Ограничений не выявлено. Можно использовать стороннюю документацию |
| VXLAN | ✅ | ❌ | ❌ |
| LACP | ✅ | – | ✅ |
| Резервирование канала | ✅ | ✅ | ✅ |
| Сколько ISP поддерживается | По количеству физических интерфейсов | По количеству физических интерфейсов | По количеству физических интерфейсов типа «Внешний» |
| Статическая балансировка трафика | ✅ | ✅ | ✅ |
| Динамическая балансировка трафика | ✅ | ✅ | ✅ |
| Механизмы мониторинга физических линков | Через GUI, консоль и по ICMP | ICMP, Round-Robin | ICMP Probing |
| Работа ISP redundancy с VPN | – | ✅ | ✅ |
| Задание приоритета для линка | ✅ | ✅ | ✅ |
| Поддержка виртуальных контекстов | ❌ | – | ❌ |
| VRF | ✅ | – | Да, с ограничениями |
| Настройка Proxy ARP | Да, настройка через консоль | Включен по умолчанию, изменить нельзя | Работает автоматически (NAT), ручные записи не работают |
| Fail Close / Fail Open | Да, выделение ресурсов для конкретной службы | – | ✅ |
| Поведение при обновлении правил/применении политики | Правила применяются сразу, изменения видны | Устройство продолжает обрабатывать трафик, сессии не разрываются | Зависит от настроек: сессии могут разрываться или сохраняться |
| Netflow | ❌ | – | – |
| Защита от SYN-flood | ✅ | ✅ | ✅ |
| Защита от TCP-flood | ✅ | ✅ | ✅ |
| Защита от ICMP-flood | ✅ | ✅ | ✅ |
| Функционал Anti-spoofing | Да, с ограничениями | – | ✅ |
| NTP | ✅ | ✅ | ✅ |
| Мониторинг состояния блоков питания | Да, с ограничениями. Просмотр через SNMP | ❌ | ❌ |
| Поддержка Graceful Restart | ❌ | ❌ | ✅ |
| Выгрузка/загрузка конфигураций в виде текстовых файлов | Да, по всем модулям | – | – |
| SNMP | ✅ | ✅ | ✅ |
| QoS | Да, с ограничениями. Только через консоль | ✅ | ✅ |
| Применение QoS политик отдельно для интерфейсов | – | Да, с ограничениями | ✅ |
| Применение QoS политик для зон (zones) | ✅ | Да, с ограничениями | ❌ |
| Использование зон безопасности в политиках ACL | ✅ | ✅ | ❌ |
| Использование интерфейсов в политиках ACL | ✅ | ✅ | Да, с ограничениями |
| Возможность включения интерфейсов в зоны | ✅ | ✅ | ❌ |
| Drag&Drop при работе с объектами и политиками | ✅ | ❌ | ✅ |
| Stateful Inspection | ✅ | ✅ | ✅ |
| Ускорение обработки трафика | ✅ | ❌ | ✅ |
| NAT-правила для определённых правил МСЭ | ❌ | ❌ | ✅ |
| Расписание действия правил МСЭ | ✅ | ✅ | ✅ |
| Поддержка временных правил МСЭ | ✅ | ✅ | ✅ |
| Просмотр Implicit-правил | Да, с ограничениями. Разные режимы работы на интерфейсе | Да, с ограничениями | Да, с ограничениями |
| Управление Implicit-правилами | ✅ | ❌ | ❌ |
| Hit Count для каждого правила | Да, с ограничениями. Просмотр через консоль | ✅ | ✅ |
| Поиск правил по объекту | ✅ | ✅ | ✅ |
| Проверка правил на дубликаты | ✅ | ❌ | ✅ |
| Объекты для создания правил | IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Страны | IP host, IP range, IP-сеть, Сервисы и порты, Протоколы, Приложения, Группы, Страны, Пользователи (локальные и доменные) | (то же самое) |
| Блокировка по GeoIP | Да, с ограничениями | – | ✅ |
| Наличие поля «Комментарий» на каждом правиле | ✅ | ✅ | ✅ |
| Очередность выполнения NAT | Да. Правила обрабатываются сверху вниз | 1. SNAT → 2. DNAT | Политика NAT, сверху вниз. DNAT имеет приоритет |
| Возможность выбора интерфейса для NAT | ✅ | ✅ | ✅ |
| Source NAT | ✅ | ✅ | ✅ |
| Destination NAT | ✅ | ✅ | ✅ |
| Bidirectional NAT | ✅ | ✅ | ✅ |
| NAT inside VPN | – | ✅ | ✅ |
| PBR (Policy Based Routing) | – | ✅ | ✅ |
| Отказоустойчивый линк с провайдером при использовании PBR | – | ✅ | ✅ |
| Совместная работа с GRE | – | ✅ | ❌ |
| Совместная работа с Route-based VPN | ✅ | ✅ | ❌ |
| IPS | ✅ | ✅ | ✅ |
| Выбор группы сигнатур для защиты | Да, с ограничениями | – | Да, с ограничениями |
| Создание исключений | ✅ | ✅ | ✅ |
| Создание кастомных сигнатур | ✅ | ✅ | ✅ |
| Документация по синтаксису сигнатур | Да, документация предоставляется поставщиком сигнатур | ✅ | ✅ |
| Защита от DoS | ✅ | ✅ | ✅ |
| Функционал DoS в правилах IPS | ✅ | ✅ | ✅ |
| Политика реализации Application Control | Поддерживаются «чёрные» и «белые» списки | Blacklist, Whitelist | Blacklist, Whitelist |
| Политика для трафика «Неизвестен или не мог быть опознан устройством» | Отдельное правило «Неизвестные» в модуле контроля приложений | Указывается поведение в модуле Контент-фильтрации | Определяется следующим правилом |
| Страница оповещения для пользователя (блокировка) | ❌ | ✅ | ✅ |
| Страница оповещения для пользователя (предупредить и продолжить) | ❌ | ❌ | ❌ |
| Блокировка QUIC-протокола | ✅ | ✅ | ✅ |
| Страница блокировки сайта при обнаружении вируса (по URL-категории) | ✅ | ✅ | ✅ |
| Условия работы антивируса | Требуется WAF | ✅ | Только HTTP/HTTPS через SSL Inspection |
| Проверка скачиваемых файлов | ✅ | ✅ | ✅ |
| Проверка FTP, SFTP, SCP | ✅ | ❌ | ❌ |
| Проверка SMB | ❌ | ❌ | ❌ |
| Типы файлов | EICAR-файлы (.exe, .doc, .pdf) | Более 40 типов | Более 40 типов |
| Проверка архивов без паролей | ✅ | ✅ | ✅ |
| Проверка архивов с паролями | ✅ | Да, с ограничениями | ❌ |
| Антивирусный движок | ClamAV | Kaspersky | Проверка по хешам |
| Поддержка пользовательских хешей | ❌ | ❌ | ✅ |
| Server-Side (Inbound SSL Inspection) | ❌ | ✅ | ❌ |
| Использование собственных или сторонних списков URL | Нет возможности загрузить список URL, только создание собственных единичных сигнатур | Собственный и сторонний списки | Да, обновление в ручном или автоматическом режиме |
| Тип используемой базы URL | Локальная обновляемая | Локальная база (обновляемая) | Локальная |
| Создание кастомных URL-категорий | Да, с ограничениями. Меняется корректировкой файла через консоль | ✅ | ✅ |
| Переопределение категории URL | Да, с ограничениями. Меняется корректировкой файла через консоль | ⚠️ (Да, с ограничениями) | ⚠️ (Да, с ограничениями) |
| Ограничение используемых методов (GET, POST и др.) для отдельных URL-категорий | ✅ | ✅ | ⚠️ (Да, с ограничениями) |
| Настройка доступа к определённым URL/доменам | ⚠️ (Да, с ограничениями). Создание кастомной сигнатуры | ✅ | ⚠️ (Да, с ограничениями) |
| URL Lookup | ✅ | ✅ | ❌ |
| Страница блокировки / предупреждения | ❌ | ✅ | ✅ |
| Какие списки URL использует производитель | Открытые источники | SkyDNS | SkyDNS, TI feeds (Kaspersky, КБ, ЦБ, RST) |
| Explicit Proxy | ✅ | ✅ | ✅ |
| Transparent Proxy | ✅ | ✅ | ✅ |
| Модули, работающие вместе с HTTPS Proxy | Контентная фильтрация, Антивирус | Контентная фильтрация, Антивирус, ICAP | Антивирус, TI Feeds, Категоризация сайтов, ICAP-client, Авторизация пользователей |
| Авторизация Kerberos | ❌ | ✅ | ✅ |
| Страница блокировки Captive Portal | ❌ | ✅ | ✅ |
| Captive Portal для авторизации на Proxy | Да, с ограничениями. Нужно вручную вводить адрес | ✅ | ✅ |
| Контентная фильтрация | ✅ | ✅ | ✅ |
| Типы файлов для фильтрации | Через правила COB, любые файлы | Аудио, видео, документы, архивы, торрент, flash, исполняемые | 40+ категорий, блокировка по MIME и расширениям |
| Блокировка файлов в архивах | ✅ | ❌ | ⚠️ (Да, с ограничениями) |
| Блокировка архивов внутри архивов | ✅ | ❌ | ⚠️ (Да, с ограничениями) |
| Запрет загрузки файлов | ⚠️ (Да, с ограничениями) | ✅ | ⚠️ (Да, с ограничениями) |
| Запрет отправки файлов | ⚠️ (Да, с ограничениями) | ❔ | ⚠️ (Да, с ограничениями) |
| Защита почты | ✅ | ✅ | ❌ |
| Поддерживаемые протоколы | IMAP(S), POP3(S), SMTP | IMAP(S), POP3(S) | ❌ |
| Антиспам | Да, с ограничениями. В зависимости от сигнатур | ✅ | ❌ |
| Антивирусная проверка писем | ✅ | ⚠️ (Да, с ограничениями) | ❌ |
| MTA | – | ✅ | ❌ |
| DMARC/DKIM/SPF | Да, с ограничениями. Есть SPF | ⚠️ (Да, с ограничениями) | ❌ |
| Поддержка протоколов с шифрованием | ❌ | ✅ | ❌ |
| Загрузка сторонних списков спам-сайтов | ❌ | ❔ | ❌ |
Полная информация на сайте: https://ngfw.jet.su/
Результаты независимого тестирования NGFW
Аналитическая выкладка: сравнение решений NGFW
(С-Терра Экран-М 1.0, Ideco NGFW v18, Континент 4.1.9)
На рынке российских NGFW-решений наблюдается устойчивое развитие и специализация. Мы рассмотрели три популярных продукта: С-Терра Экран-М 1.0, Ideco NGFW v18 и Континент 4.1.9. Несмотря на общее назначение — обеспечение сетевой безопасности, каждый продукт демонстрирует уникальный подход, обусловленный архитектурой, философией разработки и ориентацией на свои сегменты клиентов.
С-Терра Экран-М 1.0 — крепкий минимализм и ставка на безопасность
С-Терра Экран-М 1.0 построен на новой архитектуре с обработкой трафика в пользовательском пространстве. Применение технологий DPDK и VPP обеспечивает высокую производительность даже при больших нагрузках и предсказуемое поведение при строгом контроле безопасности.
Ключевые особенности:
Поддержка OSPF и BGP без ограничений со стороны вендора.
Управление через CLI — гибкость для профессионалов.
Stateful Inspection, Anti-Spoofing, IPS, защита от SYN-flood.
Сценарии применения:
Защита внешнего периметра.
Гео-распределённые системы и ЦОД.
Закрытые инфраструктуры (оборона, энергетика).
Прозрачная топология сети и работа в режиме прокси.
Экран-М 1.0 обеспечивает работу «по заданному курсу», практически не требуя дальнейших корректировок со стороны администратора.
Ideco NGFW v18 — гибкость, функциональность, внимание к деталям
Ideco NGFW v18 ориентирован на предприятия, которым важна не только базовая защита периметра, но и расширенные возможности администрирования и контроля трафика.
Ключевые особенности:
Удобный интерфейс с поддержкой Drag&Drop.
Расширенная контентная фильтрация (40+ типов файлов).
Поддержка Kerberos, Captive Portal, URL Lookup, интеграция со SkyDNS.
Гибкое управление политиками NAT, PBR, FailOpen.
Широкая работа с прокси, включая HTTPS Proxy с антивирусом.
Сценарии применения:
Компании, которым важна комплексная настройка трафика.
Организации с требованиями к видимости угроз и гибкому управлению доступом.
Инфраструктуры, где приоритет — удобство и расширенный функционал.
Континент 4.1.9 — зрелость, масштабируемость, встроенные политики
Континент 4.1.9 ориентирован на организации с повышенными требованиями к соответствию регуляторике и продвинутым сценариям безопасности.
Ключевые особенности:
Поддержка VRF, FailOpen, QoS для интерфейсов и зон.
Интеграция с TI-источниками (Касперский, КБ, ЦБ РФ).
Политики NAT поверх правил, строгий порядок обработки.
IPS с исключениями и кастомными сигнатурами.
Блокировка по GeoIP, расписания, проверка по хешам, многоуровневая фильтрация.
Сценарии применения:
Государственные структуры.
Объекты критической инфраструктуры.
Организации с высокими требованиями к журналированию и централизованному управлению.
Вывод: не сравнение, а мозаика
Каждое решение закрывает свой набор задач:
| Задача | Лучшее решение |
|---|---|
| Тонкая настройка в CLI, максимум надёжности | С-Терра Экран-М 1.0 |
| Гибкая настройка, удобство, прокси | Ideco NGFW v18 |
| Регуляторика, масштаб, TI-интеграция | Континент 4.1.9 |
Таким образом, выбор NGFW — это не вопрос «кто лучше», а вопрос «что нужно именно вам». В условиях растущих киберугроз и требовательного законодательства подход с учётом сценариев эксплуатации становится основой разумной архитектуры информационной безопасности.