Le but de cet article est de comparer les pare-feux certifiés qui peuvent être utilisés pour protéger le RNIS. L'examen ne prend en compte que les produits logiciels certifiés, dont la liste a été établie à partir du registre du FSTEC de Russie.
Choisir un pare-feu pour un certain niveau de protection des données personnelles
Dans cette revue, nous considérerons les pare-feu présentés dans le tableau 1. Ce tableau indique le nom du pare-feu et sa classe. Ce tableau sera particulièrement utile lors de la sélection d'un logiciel de protection des données personnelles.Tableau 1. Liste des pare-feu certifiés FSTEC
| Logiciel | classe moi |
| ME "Blockpost-Ekran 2000/ХР" | 4 |
| Pare-feu logiciel spécial "Z-2", version 2 | 2 |
| Outil de sécurité des informations TrustAccess | 2 |
| Outil de sécurité des informations TrustAccess-S | 2 |
| Pare-feu StoneGate | 2 |
| Pare-feu personnel Security Studio Endpoint Protection | 4 |
| Complexe logiciel "Security Server CSP VPN Server. Version 3.1" | 3 |
| Complexe logiciel "Security Gateway CSP VPN Gate. Version 3.1" | 3 |
| Progiciel client de sécurité CSP VPN Client. Variante 3.1" | 3 |
| Progiciel de pare-feu "Ideco ICS 3" | 4 |
| Progiciel "Traffic Inspector 3.0" | 3 |
| Moyens de protection cryptographique des informations "Continent-AP". Version 3.7 | 3 |
| Pare-feu « Cybersécurité : pare-feu » | 3 |
| Complexe logiciel "Passerelle Internet Ideco ICS 6" | 3 |
| Pare-feu de bureau VIPNet | 4 |
Tous ces produits logiciels, selon le registre FSTEC, sont certifiés comme pare-feu.
Selon l'ordonnance du FSTEC de Russie n ° 21 en date du 18 février 2013, pour s'assurer que les niveaux 1 et 2 de la protection des données personnelles (ci-après dénommé PD), des pare-feu d'au moins sont utilisés en cas de pertinence des menaces des 1er ou 2e type Est et Internet.
Pour assurer le 3e niveau de sécurité des DP, des pare-feux au moins de classe 3 (ou de classe 4, si les menaces de type 3 sont pertinentes et que le SI n'interagit pas avec Internet) sont adaptés. Et pour assurer le 4ème niveau de sécurité, les pare-feu les plus simples conviennent - pas inférieurs à la classe 5. Ceux-ci, cependant, ne sont actuellement pas enregistrés dans le registre FSTEC. En fait, chacun des pare-feu présentés dans le tableau 1 peut être utilisé pour fournir 1 à 3 niveaux de sécurité, à condition qu'il n'y ait pas de menaces de type 3 et aucune interaction avec Internet. S'il existe une connexion Internet, vous avez besoin d'un pare-feu d'au moins 3 classes.
Comparaison de pare-feu
Les pare-feu ont un ensemble spécifique de fonctions. Voyons donc quelles fonctions tel ou tel pare-feu fournit (ou ne fournit pas). La fonction principale de tout pare-feu est le filtrage de paquets basé sur un certain ensemble de règles. Sans surprise, tous les pare-feu prennent en charge cette fonctionnalité.De plus, tous les pare-feu pris en compte prennent en charge NAT. Mais il existe des fonctionnalités assez spécifiques (mais non moins utiles), telles que le masquage de ports, l'équilibrage de charge, le mode de fonctionnement multi-utilisateurs, le contrôle d'intégrité, le déploiement de programmes dans ActiveDirectory et l'administration à distance depuis l'extérieur. Très pratique, voyez-vous, lorsque le programme prend en charge le déploiement dans ActiveDirectory - vous n'avez pas besoin de l'installer manuellement sur chaque ordinateur du réseau. Il est également pratique que le pare-feu prenne en charge l'administration à distance de l'extérieur - vous pouvez administrer le réseau sans quitter votre domicile, ce qui sera pertinent pour les administrateurs habitués à effectuer leurs fonctions à distance.
Le lecteur peut être surpris que les déploiements d'ActiveDirectory ne soient pas pris en charge par de nombreux pare-feu présentés dans le tableau 1, et il en va de même pour d'autres fonctionnalités telles que la limitation de charge et le masquage de port. Afin de ne pas décrire lequel des firewalls supporte une fonction particulière, nous avons systématisé leurs caractéristiques dans le tableau 2.
Tableau 2. Fonctionnalités du pare-feu 
Comment allons-nous comparer les pare-feu ?
La tâche principale des pare-feu dans la protection des données personnelles est la protection de l'ISPD. Par conséquent, l'administrateur ne se soucie souvent pas des fonctions supplémentaires du pare-feu. Les facteurs suivants sont importants pour lui :- Temps de protection. Clairement, le plus tôt sera le mieux.
- Facilité d'utilisation. Tous les pare-feu ne sont pas aussi pratiques, ce qui sera montré dans l'examen.
- Prix. Souvent, l'aspect financier est décisif.
- Délai de livraison. Souvent, le délai de livraison laisse beaucoup à désirer et vous devez protéger vos données maintenant.
La sécurité de tous les pare-feu est à peu près la même, sinon ils n'auraient pas de certificat.
Vue d'ensemble des pare-feu
Ensuite, nous comparerons trois pare-feu - VipNet Office Firewall, Cybersafe Firewall et TrustAccess.Pare-feu TrustAccess- est un pare-feu distribué à gestion centralisée, destiné à protéger les serveurs et postes de travail des accès non autorisés, délimitation des accès réseau au SI de l'entreprise.
Pare-feu cybersécurité- un pare-feu puissant conçu pour protéger les systèmes informatiques et les réseaux locaux des influences malveillantes externes.
Pare-feu ViPNet Office 4.1- un pare-feu logiciel conçu pour contrôler et gérer le trafic et la conversion de trafic (NAT) entre les segments des réseaux locaux lors de leur interaction, ainsi que lors de l'interaction des nœuds du réseau local avec les ressources du réseau public.
Durée de protection ISPD
Quelle est la durée de protection ISPD ? En fait, il s'agit du temps de déploiement de l'application sur tous les ordinateurs du réseau et du temps de définition des règles. Ce dernier dépend de la facilité d'utilisation du pare-feu, mais le premier dépend de l'adéquation de son package d'installation pour une installation centralisée.Les trois pare-feu sont distribués sous forme de packages MSI, ce qui signifie que vous pouvez utiliser les outils de déploiement ActiveDirectory pour les installer de manière centralisée. Il semblerait que tout soit simple. Mais en pratique, il s'avère que non.
L'entreprise, en règle générale, utilise une gestion centralisée des pare-feu. Et cela signifie qu'un serveur de gestion de pare-feu est installé sur certains ordinateurs et que des programmes clients ou, comme on les appelle également agents, sont installés sur le reste. Tout le problème est que lors de l'installation de l'agent, vous devez définir certains paramètres - au moins l'adresse IP du serveur de gestion, et peut-être aussi un mot de passe, etc.
Par conséquent, même si vous déployez les fichiers MSI sur tous les ordinateurs du réseau, vous devez toujours les configurer manuellement. Et ce ne serait pas très souhaitable, étant donné que le réseau est vaste. Même si vous n'avez que 50 ordinateurs, pensez-y - allez sur chaque PC et configurez-le.
Comment résoudre un problème ? Et le problème peut être résolu en créant un fichier de transformation (fichier MST), également appelé fichier de réponse, pour le fichier MSI. Mais ni VipNet Office Firewall ni TrustAccess ne peuvent le faire. C'est pourquoi, soit dit en passant, le tableau 2 indique qu'il n'y a pas de support pour le déploiement d'Active Directory. Il est possible de déployer ces programmes dans le domaine, mais un travail manuel de l'administrateur est nécessaire.
Bien sûr, l'administrateur peut utiliser des éditeurs comme Orca pour créer le fichier MST.
Riz. 1. Éditeur Orca. Tentative de création d'un fichier MST pour TrustAccess.Agent.1.3.msi
Mais pensez-vous vraiment que tout est si simple ? Vous avez ouvert un fichier MSI dans Orca, modifié quelques paramètres et obtenu un fichier de réponses prêt ? Ce n'était pas là ! Premièrement, Orca lui-même n'est pas simplement installé. Vous devez télécharger le SDK Windows Installer, en extraire orca.msi à l'aide de 7-Zip et l'installer. Le saviez-vous ? Si ce n'est pas le cas, considérez que vous avez passé 15 minutes à rechercher les informations nécessaires, à télécharger le logiciel et à installer l'éditeur. Mais toutes les souffrances ne s'arrêtent pas là. Le fichier MSI a de nombreuses options. Regardez la fig. 1 - ce ne sont que les paramètres du groupe de propriétés. Lequel changer pour indiquer l'adresse IP du serveur ? Tu sais? Si ce n'est pas le cas, vous avez alors deux options : soit configurer manuellement chaque ordinateur, soit contacter le développeur, attendre une réponse, etc. Considérant que les développeurs mettent parfois beaucoup de temps à répondre, le temps de déploiement réel du programme ne dépend que de la vitesse de votre déplacement entre les ordinateurs. Eh bien, si vous avez installé l'outil de gestion à distance à l'avance, le déploiement sera plus rapide.
Cybersafe Firewall crée lui-même un fichier MST, il vous suffit de l'installer sur un ordinateur, d'obtenir le fichier MST convoité et de le spécifier dans la stratégie de groupe. Vous pouvez lire comment procéder dans l'article "Délimitation des systèmes d'information dans la protection des données personnelles". Pendant environ une demi-heure (voire moins), vous pouvez déployer un pare-feu sur tous les ordinateurs du réseau.
C'est pourquoi Cybersafe Firewall obtient une note de 5, et ses concurrents - 3 (merci, au moins les installateurs sont au format MSI, pas .exe).
| Produit | Grade |
| Pare-feu de bureau VIPNet | |
| Pare-feu cybersécurité | |
| Accès de confiance |
Facilité d'utilisation
Un pare-feu n'est pas un traitement de texte. Il s'agit d'un produit logiciel assez spécifique, dont l'utilisation est réduite au principe "installer, configurer, oublier". D'une part, la convivialité est un facteur secondaire. Par exemple, iptables sous Linux n'est pas pratique, mais est-il utilisé ? D'autre part, plus le pare-feu est pratique, plus il sera possible de protéger rapidement l'ISPD et d'effectuer certaines fonctions pour son administration.Eh bien, voyons à quel point les pare-feu considérés sont pratiques dans le processus de création et de protection de l'ISPD.
Nous commencerons par VipNet Office Firewall, qui, à notre avis, n'est pas très pratique. Vous pouvez sélectionner des ordinateurs dans des groupes uniquement par adresses IP (Fig. 2). En d'autres termes, il existe une liaison aux adresses IP et vous devez soit allouer différents ISPD à différents sous-réseaux, soit diviser un sous-réseau en plages d'adresses IP. Par exemple, il existe trois ISPD : Gestion, Comptabilité, Informatique. Vous devez configurer le serveur DHCP afin que les ordinateurs du groupe Gestion reçoivent des adresses IP de la plage 192.168.1.10 - 192.168.1.20, Comptabilité 192.168.1.21 - 192.168.1.31, etc. Ce n'est pas très pratique. C'est pour cela qu'un point sera déduit de VipNet Office Firewall.
Riz. 2. Lors de la création de groupes d'ordinateurs, il existe une liaison explicite à l'adresse IP
Dans le pare-feu Cybersafe, au contraire, il n'y a pas de liaison à une adresse IP. Les ordinateurs faisant partie d'un groupe peuvent se trouver sur différents sous-réseaux, dans différentes plages du même sous-réseau et même en dehors du réseau. Regardez la fig. 3. Les succursales de la société sont situées dans différentes villes (Rostov, Novorossiysk, etc.). Il est très facile de créer des groupes - faites simplement glisser les noms d'ordinateurs vers le groupe souhaité et cliquez sur le bouton Appliquer. Après cela, vous pouvez cliquer sur le bouton Définissez les règles pour former des règles propres à chaque groupe.
Riz. 3. Gérer les groupes dans Cybersafe Firewall
Quant à TrustAccess, il convient de noter l'étroite intégration avec le système lui-même. Les groupes d'utilisateurs système et d'ordinateurs déjà créés sont importés dans la configuration du pare-feu, ce qui facilite la gestion du pare-feu dans un environnement ActiveDirectory. Vous ne pouvez pas créer de RNIS dans le pare-feu lui-même, mais utiliser des groupes d'ordinateurs existants dans le domaine Active Directory.
Riz. 4. Groupes d'utilisateurs et d'ordinateurs (TrustAccess)
Les trois pare-feu vous permettent de créer des soi-disant horaires, grâce auxquels l'administrateur peut configurer le passage des paquets selon un horaire, par exemple, refuser l'accès à Internet après les heures de bureau. Dans VipNet Office Firewall, les horaires sont créés dans la section Des horaires(Fig. 5) et dans CyberSafe Firewall, le temps de fonctionnement de la règle est défini lors de la définition de la règle elle-même (Fig. 6).
Riz. 5. Horaires dans le pare-feu VipNet Office
Riz. 6. Durée de fonctionnement des règles dans Cybersafe Firewall
Riz. 7. Programmer dans TrustAccess
Les trois pare-feu fournissent des outils très pratiques pour créer les règles elles-mêmes. Et TrustAccess fournit également un assistant de création de règles pratique.
Riz. 8. Créer une règle dans TrustAccess
Jetons un coup d'œil à une autre fonctionnalité - les outils pour obtenir des rapports (journaux, journaux). Dans TrustAccess, pour collecter des rapports et des informations sur les événements, vous devez installer un serveur d'événements (EventServer) et un serveur de rapports (ReportServer). Non pas qu'il s'agisse d'un défaut, mais plutôt d'une fonctionnalité ("fonctionnalité", comme l'a dit Bill Gates) de ce pare-feu. Comme pour les pare-feu Cybersafe et VipNet Office, les deux pare-feu fournissent des outils pratiques pour afficher le journal des paquets IP. La seule différence est que Cybersafe Firewall affiche d'abord tous les paquets, et vous pouvez filtrer ceux dont vous avez besoin à l'aide du filtre intégré dans l'en-tête du tableau (Fig. 9). Et dans VipNet Office Firewall, vous devez d'abord installer des filtres, puis afficher le résultat.
Riz. 9. Gestion des journaux de paquets IP dans Cybersafe Firewall
Riz. 10. Gestion des journaux de paquets IP dans le pare-feu VipNet Office
J'ai dû déduire 0,5 point du pare-feu Cybersafe pour l'absence d'une fonction permettant d'exporter le journal vers Excel ou HTML. La fonction est loin d'être critique, mais il est parfois utile d'exporter simplement et rapidement plusieurs lignes du log, par exemple pour un débriefing.
Ainsi, les résultats de cette section :
| Produit | Grade |
| Pare-feu de bureau VIPNet | |
| Pare-feu cybersécurité | |
| Accès de confiance |
Prix
Il est tout simplement impossible de contourner le côté financier de la question, car il devient souvent décisif lors du choix d'un produit particulier. Ainsi, le coût d'une licence ViPNet Office Firewall 4.1 (licence d'un an pour 1 ordinateur) est de 15 710 roubles. Et le coût d'une licence pour 1 serveur et 5 postes de travail TrustAccess coûtera 23 925 roubles. Avec le coût de ces produits logiciels, vous pouvez trouver les liens à la fin de l'article.Retenez ces deux nombres 15710 r. pour un PC (par an) et 23 925 roubles. pour 1 serveur et 5 PC (par an). Et maintenant attention: pour cet argent, vous pouvez acheter une licence pour 25 nœuds Cybersafe Firewall (15178 roubles) ou en ajouter un peu et cela suffira pour une licence pour 50 nœuds (24025 roubles). Mais la chose la plus importante à propos de ce produit n'est pas le coût. La chose la plus importante est la validité de la licence et du support technique. Licence pour Cybersafe Firewall - sans date d'expiration, ainsi que support technique. Autrement dit, vous payez une fois et obtenez un produit logiciel avec une licence à vie et un support technique.
| Produit | Grade |
| Pare-feu de bureau VIPNet | |
| Pare-feu cybersécurité | |
| Accès de confiance |
Délai de livraison
Selon notre expérience, le délai de livraison du pare-feu VipNet Office est d'environ 2 à 3 semaines après l'application à Infotex OJSC. Pour être honnête, c'est assez long si l'on considère qu'on achète un produit logiciel, pas un PACK.Le délai de livraison de TrustAccess, si commandé via Softline, est de 1 jour. Un délai plus réaliste est de 3 jours, compte tenu du retard de Softline. Bien qu'ils puissent livrer en 1 jour, tout dépend de la charge de travail de Softline. Encore une fois, il s'agit d'une expérience personnelle, le temps réel pour un client particulier peut différer. Mais dans tous les cas, le délai de livraison est assez court, ce qu'il faut noter.
Comme pour le produit logiciel CyberSafe Firewall, le fabricant garantit la livraison de la version électronique dans les 15 minutes suivant le paiement.
| Produit | Grade |
| Pare-feu de bureau VIPNet | |
| Pare-feu cybersécurité | |
| Accès de confiance |
Que choisir ?
Si vous vous concentrez uniquement sur le coût du produit et du support technique, le choix est évident - Cybersafe Firewall. Cybersafe Le pare-feu a un rapport fonctionnalité/prix optimal. D'un autre côté, si vous avez besoin de l'assistance de Secret Net, vous devez vous tourner vers TrustAccess. Mais nous ne pouvons que recommander VipNet Office Firewall comme un bon pare-feu personnel, mais à ces fins, il existe de nombreuses autres solutions gratuites.Revu par des experts
société intégratrice DORF LLC
