Scopul acestui articol este de a compara firewall-urile certificate care pot fi utilizate pentru a proteja ISDN. Revizuirea ia în considerare numai produse software certificate, a căror listă a fost formată din registrul FSTEC din Rusia.
Alegerea unui firewall pentru un anumit nivel de protecție a datelor cu caracter personal
În această revizuire, vom lua în considerare firewall-urile prezentate în Tabelul 1. Acest tabel arată numele firewall-ului și clasa acestuia. Acest tabel va fi util în special atunci când selectați software pentru protejarea datelor cu caracter personal.Tabelul 1. Lista firewall-urilor certificate FSTEC
| Software | clasa ME |
| ME "Blockpost-Ekran 2000/ХР" | 4 |
| Firewall software special „Z-2”, versiunea 2 | 2 |
| Instrument de securitate a informațiilor TrustAccess | 2 |
| TrustAccess-S Instrument de securitate a informațiilor | 2 |
| Firewall StoneGate | 2 |
| Security Studio Endpoint Protection Personal Firewall | 4 |
| Complex de software „Server VPN CSP Server. Versiunea 3.1” | 3 |
| Complex software „Security Gateway CSP VPN Gate. Versiunea 3.1” | 3 |
| Pachetul software pentru client de securitate CSP VPN Client. Versiunea 3.1" | 3 |
| Pachetul software de firewall „Ideco ICS 3” | 4 |
| Pachetul software „Traffic Inspector 3.0” | 3 |
| Mijloace de protecție criptografică a informațiilor „Continent-AP”. Versiunea 3.7 | 3 |
| Firewall „Cybersafe: Firewall” | 3 |
| Complex de software „Internet gateway Ideco ICS 6” | 3 |
| VipNet Office Firewall | 4 |
Toate aceste produse software, conform registrului FSTEC, sunt certificate ca firewall-uri.
Conform ordinului FSTEC al Rusiei nr. 21 din 18 februarie 2013, pentru a asigura nivelurile 1 și 2 de protecție a datelor cu caracter personal (denumite în continuare PD), firewall-urile de cel puțin clasa 3 sunt utilizate în cazul relevanței amenințări de tipul 1 sau 2 sau interacțiunea unui sistem informațional (IS ) cu rețele internaționale de schimb de informații și firewall-uri de cel puțin clasa 4 în cazul relevanței amenințărilor de tip 3 și absența interacțiunii dintre IS și internet.
Pentru a asigura al 3-lea nivel de securitate PD, firewall-urile de cel puțin clasa 3 (sau clasa 4, dacă amenințările de tip 3 sunt relevante și IS-ul nu interacționează cu Internetul) sunt potrivite. Și pentru a asigura al 4-lea nivel de securitate, cele mai simple firewall-uri sunt potrivite - nu mai mici decât clasa 5. Acestea, însă, nu sunt înregistrate în prezent în registrul FSTEC. De fapt, fiecare dintre firewall-urile prezentate în Tabelul 1 poate fi folosit pentru a oferi 1-3 niveluri de securitate, cu condiția să nu existe amenințări de tip 3 și să nu existe interacțiune cu Internetul. Dacă există o conexiune la Internet, atunci aveți nevoie de un firewall de cel puțin 3 clase.
Comparație firewall
Firewall-urile au un set specific de funcții. Deci, să vedem ce funcții oferă (sau nu) acest firewall sau acela. Funcția principală a oricărui firewall este filtrarea pachetelor pe baza unui anumit set de reguli. Nu este surprinzător că toate firewall-urile acceptă această caracteristică.De asemenea, toate firewall-urile considerate acceptă NAT. Există însă caracteristici destul de specifice (dar nu mai puțin utile), cum ar fi mascarea porturilor, echilibrarea încărcăturii, modul de operare cu mai mulți utilizatori, controlul integrității, implementarea programului în ActiveDirectory și administrarea de la distanță din exterior. Destul de convenabil, vedeți, când programul acceptă implementarea în ActiveDirectory - nu trebuie să îl instalați manual pe fiecare computer din rețea. De asemenea, este convenabil dacă firewall-ul acceptă administrarea de la distanță din exterior - puteți administra rețeaua fără a părăsi acasă, ceea ce va fi relevant pentru administratorii care sunt obișnuiți să-și îndeplinească funcțiile de la distanță.
Poate surprinde cititorul că implementările ActiveDirectory nu sunt acceptate de multe dintre firewall-urile prezentate în Tabelul 1 și același lucru se poate spune și pentru alte caracteristici, cum ar fi limitarea încărcăturii și mascarea porturilor. Pentru a nu descrie care dintre firewall-uri acceptă o anumită funcție, am sistematizat caracteristicile acestora în Tabelul 2.
Tabelul 2. Capacitățile firewall 
Cum vom compara firewall-urile?
Sarcina principală a firewall-urilor în protecția datelor cu caracter personal este protecția ISPD. Prin urmare, de multe ori administratorului nu îi pasă ce funcții suplimentare va avea firewall-ul. Următorii factori sunt importanți pentru el:- Timp de protecție. În mod clar, cu cât mai devreme, cu atât mai bine.
- Ușurință în utilizare. Nu toate firewall-urile sunt la fel de convenabile, ceea ce va fi afișat în recenzie.
- Preț. Adesea partea financiară este decisivă.
- Timpul de livrare. Adesea, timpul de livrare lasă mult de dorit și trebuie să vă protejați datele acum.
Securitatea tuturor firewall-urilor este aproximativ aceeași, altfel nu ar avea certificat.
Firewall-uri în prezentare generală
În continuare, vom compara trei firewall-uri - VipNet Office Firewall, Cybersafe Firewall și TrustAccess.Firewall TrustAccess- este un firewall distribuit cu management centralizat, conceput pentru a proteja serverele si statiile de lucru de accesul neautorizat, delimitarea accesului la retea la IS-ul intreprinderii.
Firewall Cybersafe- un firewall puternic conceput pentru a proteja sistemele computerizate și rețelele locale de influențe externe rău intenționate.
ViPNet Office Firewall 4.1- un firewall software conceput pentru a controla și gestiona traficul și conversia traficului (NAT) între segmente ale rețelelor locale în timpul interacțiunii acestora, precum și în timpul interacțiunii nodurilor rețelei locale cu resursele rețelei publice.
Timp de protecție ISPD
Care este timpul de protecție ISPD? De fapt, acesta este momentul pentru ca aplicația să fie implementată pe toate computerele din rețea și momentul pentru stabilirea regulilor. Acesta din urmă depinde de ușurința de utilizare a firewall-ului, dar primul depinde de adecvarea pachetului său de instalare pentru o instalare centralizată.Toate cele trei firewall-uri sunt distribuite ca pachete MSI, ceea ce înseamnă că puteți utiliza instrumentele de implementare ActiveDirectory pentru a le instala central. S-ar părea că totul este simplu. Dar în practică se dovedește că nu.
Întreprinderea, de regulă, utilizează gestionarea centralizată a firewall-urilor. Și asta înseamnă că pe un computer este instalat un server de gestionare a firewall-ului, iar pe restul sunt instalate programe client sau, așa cum se mai numesc și agenți. Întreaga problemă este că atunci când instalați agentul, trebuie să setați anumiți parametri - cel puțin adresa IP a serverului de management și poate și o parolă etc.
Prin urmare, chiar dacă implementați fișierele MSI pe toate computerele din rețea, tot trebuie să le configurați manual. Și acest lucru nu ar fi foarte de dorit, având în vedere că rețeaua este mare. Chiar dacă aveți doar 50 de computere, gândiți-vă la asta - mergeți la fiecare PC și configurați-l.
Cum se rezolvă o problemă? Și problema poate fi rezolvată prin crearea unui fișier de transformare (fișier MST), cunoscut și ca fișier de răspuns, pentru fișierul MSI. Dar nici VipNet Office Firewall, nici TrustAccess nu pot face acest lucru. De aceea, apropo, Tabelul 2 indică faptul că nu există suport pentru implementarea Active Directory. Este posibil să implementați aceste programe în domeniu, dar este necesară munca manuală a administratorului.
Desigur, administratorul poate folosi editori precum Orca pentru a crea fișierul MST.
Orez. 1. Editor Orca. Încercarea de a crea un fișier MST pentru TrustAccess.Agent.1.3.msi
Dar chiar crezi că totul este atât de simplu? Ați deschis un fișier MSI în Orca, am modificat câțiva parametri și ați primit un fișier de răspuns gata? Nu a fost aici! În primul rând, Orca în sine nu este pur și simplu instalată. Trebuie să descărcați Windows Installer SDK, să extrageți orca.msi din acesta folosind 7-Zip și să îl instalați. Știai despre asta? Dacă nu, atunci luați în considerare că ați petrecut 15 minute căutând informațiile necesare, descarcând software-ul și instalând editorul. Dar toată suferința nu se termină aici. Fișierul MSI are multe opțiuni. Uită-te la fig. 1 - aceștia sunt doar parametrii grupului de proprietate. Pe care să o schimbi pentru a indica adresa IP a serverului? Ştii? Dacă nu, atunci aveți două opțiuni: fie configurați manual fiecare computer, fie contactați dezvoltatorul, așteptați un răspuns etc. Având în vedere că dezvoltatorii durează uneori destul de mult timp pentru a răspunde, timpul real de implementare a programului depinde doar de viteza de mișcare între computere. Ei bine, dacă ați instalat instrumentul de gestionare la distanță în avans - atunci implementarea va fi mai rapidă.
Cybersafe Firewall creează singur un fișier MST, trebuie doar să îl instalați pe un computer, să obțineți râvnitul fișier MST și să îl specificați în politica de grup. Puteți citi despre cum să faceți acest lucru în articolul „Delimitarea sistemelor informaționale în protecția datelor cu caracter personal”. Pentru aproximativ o jumătate de oră (sau chiar mai puțin), puteți implementa un firewall pe toate computerele din rețea.
De aceea, Cybersafe Firewall primește un rating de 5, iar concurenții săi - 3 (mulțumesc, cel puțin instalatorii sunt în format MSI, nu .exe).
| Produs | Nota |
| VipNet Office Firewall | |
| Firewall Cybersafe | |
| Acces de încredere |
Ușurință în utilizare
Un firewall nu este un procesor de text. Acesta este un produs software destul de specific, a cărui utilizare se reduce la principiul „instalați, configurați, uitați”. Pe de o parte, gradul de utilizare este un factor secundar. De exemplu, iptables pe Linux nu este convenabil, dar este folosit? Pe de altă parte, cu cât firewall-ul este mai convenabil, cu atât mai rapid va fi posibilă protejarea ISPD-ului și îndeplinirea unor funcții pentru administrarea acestuia.Ei bine, să vedem cât de convenabile sunt firewall-urile considerate în procesul de creare și protejare a ISPD.
Vom începe cu VipNet Office Firewall, care, în opinia noastră, nu este foarte convenabil. Puteți selecta computerele în grupuri numai după adrese IP (Fig. 2). Cu alte cuvinte, există o legătură cu adresele IP și trebuie fie să alocați diferite ISPD-uri diferitelor subrețele, fie să împărțiți o subrețea în intervale de adrese IP. De exemplu, există trei ISPD-uri: Management, Contabilitate, IT. Trebuie să configurați serverul DHCP astfel încât computerelor din grupul Management să li se dea adrese IP din intervalul 192.168.1.10 - 192.168.1.20, Contabilitate 192.168.1.21 - 192.168.1.31 etc. Acest lucru nu este foarte convenabil. Pentru aceasta va fi dedus un punct din VipNet Office Firewall.
Orez. 2. Când se creează grupuri de computere, există o legătură explicită la adresa IP
În firewall-ul Cybersafe, dimpotrivă, nu există nicio legătură cu o adresă IP. Calculatoarele care fac parte dintr-un grup pot fi pe subrețele diferite, în zone diferite ale aceleiași subrețele și chiar în afara rețelei. Uită-te la fig. 3. Filialele companiei sunt situate în diferite orașe (Rostov, Novorossiysk etc.). Este foarte ușor să creați grupuri - doar trageți numele computerelor în grupul dorit și faceți clic pe butonul aplica. După aceea, puteți face clic pe butonul Stabiliți regulile să formeze reguli specifice fiecărui grup.
Orez. 3. Gestionați grupuri în Cybersafe Firewall
În ceea ce privește TrustAccess, trebuie remarcată integrarea strânsă cu sistemul în sine. Utilizatorii de sistem și grupurile de computere deja create sunt importate în configurația firewall, ceea ce facilitează gestionarea firewall-ului într-un mediu ActiveDirectory. Nu puteți crea ISDN în firewall-ul propriu-zis, ci puteți utiliza grupuri de computere existente în domeniul Active Directory.
Orez. 4. Grupuri de utilizatori și computere (TrustAccess)
Toate cele trei firewall-uri vă permit să creați așa-numitele programe, datorită cărora administratorul poate configura trecerea pachetelor într-un program, de exemplu, să refuze accesul la Internet după orele de lucru. În VipNet Office Firewall, programele sunt create în secțiune Programe(Fig. 5), iar în CyberSafe Firewall, timpul de funcționare al regulii este setat la definirea regulii în sine (Fig. 6).
Orez. 5. Programe în VipNet Office Firewall
Orez. 6. Reglați timpul de lucru în Cybersafe Firewall
Orez. 7. Programează în TrustAccess
Toate cele trei firewall-uri oferă instrumente foarte utile pentru crearea regulilor în sine. Și TrustAccess oferă, de asemenea, un expert convenabil pentru crearea regulilor.
Orez. 8. Creați o regulă în TrustAccess
Să aruncăm o privire la o altă caracteristică - instrumente pentru obținerea de rapoarte (jurnale, jurnale). În TrustAccess, pentru a colecta rapoarte și informații despre evenimente, trebuie să instalați un server de evenimente (EventServer) și un server de rapoarte (ReportServer). Nu că acesta este un defect, ci mai degrabă o caracteristică („funcție”, după cum spunea Bill Gates) a acestui firewall. În ceea ce privește firewall-urile Cybersafe și VipNet Office, ambele firewall-uri oferă instrumente convenabile pentru vizualizarea jurnalului de pachete IP. Singura diferență este că Cybersafe Firewall afișează mai întâi toate pachetele și le puteți filtra pe cele de care aveți nevoie folosind capacitățile filtrului încorporat în antetul tabelului (Fig. 9). Și în VipNet Office Firewall, trebuie mai întâi să instalați filtre și apoi să vizualizați rezultatul.
Orez. 9. Gestionarea jurnalului de pachete IP în Cybersafe Firewall
Orez. 10. Managementul jurnalului de pachete IP în VipNet Office Firewall
A trebuit să scad 0,5 puncte din firewall-ul Cybersafe pentru lipsa unei funcții de export a jurnalului în Excel sau HTML. Funcția este departe de a fi critică, dar uneori este util să exportați simplu și rapid mai multe linii din jurnal, de exemplu, pentru debriefing.
Deci, rezultatele acestei secțiuni:
| Produs | Nota |
| VipNet Office Firewall | |
| Firewall Cybersafe | |
| Acces de încredere |
Preț
Este pur și simplu imposibil să ocoliți partea financiară a problemei, deoarece de multe ori aceasta devine decisivă atunci când alegeți un anumit produs. Astfel, costul unei licențe ViPNet Office Firewall 4.1 (licență de 1 an pentru 1 computer) este de 15.710 de ruble. Și costul unei licențe pentru 1 server și 5 stații de lucru TrustAccess va costa 23.925 de ruble. Cu costul acestor produse software, puteți găsi link-urile la sfârșitul articolului.Amintiți-vă aceste două numere 15710 r. pentru un PC (pe an) și 23.925 de ruble. pentru 1 server și 5 PC-uri (pe an). Și acum atenție: pentru acești bani puteți cumpăra o licență pentru 25 de noduri Cybersafe Firewall (15178 ruble) sau adăugați puțin și va fi suficient pentru o licență pentru 50 de noduri (24025 ruble). Dar cel mai important lucru la acest produs nu este costul. Cel mai important lucru este valabilitatea licenței și suportul tehnic. Licență pentru Cybersafe Firewall - fără dată de expirare, precum și suport tehnic. Adică plătiți o singură dată și obțineți un produs software cu o licență pe viață și suport tehnic.
| Produs | Nota |
| VipNet Office Firewall | |
| Firewall Cybersafe | |
| Acces de încredere |
Timpul de livrare
Conform experienței noastre, timpul de livrare VipNet Office Firewall este de aproximativ 2-3 săptămâni după aplicarea la Infotex OJSC. Sincer să fiu, este o perioadă destul de lungă, având în vedere că se cumpără un produs software, nu un PACHET.Timpul de livrare TrustAccess, dacă este comandat prin Softline, este de la 1 zi. Un interval de timp mai realist este de 3 zile, având în vedere o anumită întârziere a Softline. Deși pot livra într-o zi, totul depinde de volumul de muncă al Softline. Din nou, aceasta este experiența personală, timpul real pentru un anumit client poate diferi. Dar, în orice caz, timpul de livrare este destul de scurt, ceea ce trebuie reținut.
În ceea ce privește produsul software CyberSafe Firewall, producătorul garantează livrarea versiunii electronice în termen de 15 minute de la plată.
| Produs | Nota |
| VipNet Office Firewall | |
| Firewall Cybersafe | |
| Acces de încredere |
Ce sa aleg?
Dacă vă concentrați doar pe costul produsului și al suportului tehnic, atunci alegerea este evidentă - Cybersafe Firewall. Cybersafe Firewall-ul are un raport optim funcționalitate/preț. Pe de altă parte, dacă aveți nevoie de asistență Secret Net, atunci trebuie să vă uitați la TrustAccess. Dar nu putem recomanda decât VipNet Office Firewall ca un bun firewall personal, dar în aceste scopuri există multe alte soluții și, în plus, gratuite.Revizuit de experți
firma integratoare DORF LLC
