Мета цієї статті - порівняти сертифіковані міжмережові екрани, які можна використовувати для захисту ІСПДн. У огляді розглядаються лише сертифіковані програмні продукти, перелік яких формувався з реєстру ФСТЭК Росії.
Вибір міжмережевого екрану для певного рівня безпеки персональних даних
У цьому огляді ми розглядатимемо міжмережеві екрани, представлені в таблиці 1. У цій таблиці вказано назву міжмережевого екрану та його клас. Ця таблиця буде особливо корисною при підборі програмного забезпечення для захисту персональних даних.Таблиця 1. Список сертифікованих ФСТЕК міжмережевих екранів
| Програмний продукт | Клас МЕ |
| МЕ «Блокпост-Екран 2000/ХР» | 4 |
| Спеціальне програмне забезпечення міжмережевий екран «Z-2», версія 2 | 2 |
| Засіб захисту інформації TrustAccess | 2 |
| Засіб захисту інформації TrustAccess-S | 2 |
| Міжмережевий екран StoneGate Firewall | 2 |
| Захист інформації Security Studio Endpoint Protection Personal Firewall | 4 |
| Програмний комплекс "Сервер безпеки CSP VPN Server. Версія 3.1" | 3 |
| Програмний комплекс "Шлюз безпеки CSP VPN Gate. Версія 3.1" | 3 |
| Програмний комплекс Клієнт безпеки CSP VPN Client. Версія 3.1» | 3 |
| Програмний комплекс міжмережевий екран "Ideco ICS 3" | 4 |
| Програмний комплекс «Трафік Інспектор 3.0» | 3 |
| Засіб криптографічного захисту інформації "Континент-АП". Версія 3.7 | 3 |
| Міжмережевий екран Кіберсейф: Міжмережевий екран | 3 |
| Програмний комплекс "Інтернет-шлюз Ideco ICS 6" | 3 |
| VipNet Office Firewall | 4 |
Всі ці програмні продукти, згідно з реєстром ФСТЕК, сертифіковані як міжмережні екрани.
Згідно з наказом ФСТЕК Росії №21 від 18 лютого 2013 р. для забезпечення 1 і 2 рівнів захищеності персональних даних (далі ПД) застосовуються міжмережові екрани не нижче 3 класу у разі актуальності загроз 1-го або 2-го типів або взаємодії інформаційної системи (ІВ) ) з мережами міжнародного інформаційного обміну та міжмережевими екранами не нижче 4 класу у разі актуальності загроз 3-го типу та відсутності взаємодії ІВ з Інтернетом.
Для забезпечення 3 рівня захищеності ПД підійдуть міжмережові екрани не нижче 3 класу (або 4 класи, у разі актуальності загроз 3-го типу та відсутності взаємодії ІВ з Інтернетом). А для забезпечення 4 рівня захищеності підійдуть найпростіші міжмережеві екрани – не нижче 5 класу. Таких, втім, у реєстрі ФСТЕК на даний момент не зареєстровано. По суті, кожен із представлених у таблиці 1 міжмережевих екранів може використовуватися для забезпечення 1-3 рівнів захищеності за умови відсутності загроз 3-го типу та відсутності взаємодії з Інтернетом. Якщо є з'єднання з Інтернетом, то потрібен міжмережевий екран як мінімум 3 класу.
Порівняння міжмережевих екранів
Міжмережевим екранам властивий певний набір функцій. Ось і подивимося, які функції надає (або не надає) той чи інший екран між мережею. Основна функція будь-якого міжмережевого екрану - це фільтрація пакетів виходячи з певного набору правил. Не дивно, але цю функцію підтримують усі брандмауери.Також усі брандмауери, що розглядаються, підтримують NAT. Але є досить специфічні (але від цього не менш корисні) функції, наприклад, маскування портів, регулювання навантаження, розрахований на багато користувачів режим роботи, контроль цілісності, розгортання програми в ActiveDirectory і віддалене адміністрування ззовні. Досить зручно, погодьтеся, коли програма підтримує розгортання ActiveDirectory - не потрібно вручну встановлювати її на кожному комп'ютері мережі. Також зручно, якщо міжмережевий екран підтримує віддалене адміністрування ззовні - можна адмініструвати мережу, не виходячи з дому, що буде актуальним для адміністраторів, які звикли виконувати свої функції віддалено.
Напевно, читач буде здивований, але розгортання в ActiveDirectory не підтримує багато міжмережевих екранів, представлених у таблиці 1, те ж саме можна сказати і про інші функції, такі як регулювання навантаження та маскування портів. Щоб не описувати, який з міжмережевих екранів підтримує ту чи іншу функцію, ми систематизували характеристики в таблиці 2.
Таблиця 2. Можливості брандмауерів 
Як порівнюватимемо міжмережові екрани?
Основне завдання міжмережевих екранів при захисті персональних - захист ІСПДн. Тому адміністратору часто все одно, які додаткові функції матиме міжмережевий екран. Йому важливі такі фактори:- Час захисту. Тут зрозуміло, що швидше, то краще.
- Зручність використання. Не всі міжмережові екрани однаково зручні, що й буде показано у огляді.
- Вартість. Часто фінансова сторона є вирішальною.
- Термін поставки. Нерідко термін постачання залишає бажати кращого, а захистити дані потрібно вже зараз.
Безпека у всіх міжмережевих екранів приблизно однакова, інакше вони не мали б сертифіката.
Брандмауери в огляді
Далі ми порівнюватимемо три міжмережевих екрани - VipNet Office Firewall, Кіберсейф Міжмережевий екран і TrustAccess.Брандмауер TrustAccess- це розподілений міжмережевий екран із централізованим управлінням, призначений для захисту серверів та робочих станцій від несанкціонованого доступу, розмежування мережного доступу до ІВ підприємства.
Кіберсейф Міжмережевий екран- потужний міжмережевий екран, розроблений для захисту комп'ютерних систем та локальної мережі від зовнішніх шкідливих впливів.
ViPNet Office Firewall 4.1- програмний міжмережевий екран, призначений для контролю та управління трафіком та перетворення трафіку (NAT) між сегментами локальних мереж при їх взаємодії, а також при взаємодії вузлів локальних мереж з ресурсами мереж загального користування.
Час захисту ІСПДн
Що таке час захисту ІСПДн? По суті, це час розгортання програми на всі комп'ютери мережі та час налаштування правил. Останнє залежить від зручності використання брандмауера, а ось перше – від пристосованості його інсталяційного пакета до централізованої установки.Всі три міжмережевих екрани поширюються у вигляді пакетів MSI, а це означає, що можна використовувати засоби розгортання ActiveDirectory для їхньої централізованої установки. Здавалося б просто. Але на практиці виявляється, що ні.
На підприємстві зазвичай використовується централізоване управління міжмережевими екранами. І це означає, що у якийсь комп'ютер встановлюється сервер управління брандмауерами, але в інші встановлюються програми-клієнти чи як ще називають агенти. Проблема вся в тому, що при встановленні агента потрібно задати певні параметри - як мінімум IP-адресу сервера управління, а може, ще й пароль і т.д.
Отже, навіть якщо ви розгорнете MSI-файли на всі комп'ютери мережі, налаштовувати їх все одно доведеться вручну. А цього не дуже хотілося б, враховуючи, що мережа велика. Навіть якщо у вас всього 50 комп'ютерів, ви тільки вдумайтеся - підійти до кожного ПК і налаштувати його.
Як вирішити проблему? А проблему можна вирішити шляхом створення файлу трансформації (MST-файлу), він же файл відповідей для MSI-файлу. Ось тільки ні VipNet Office Firewall, ні TrustAccess цього не можуть. Саме тому, до речі, у таблиці 2 зазначено, що немає підтримки розгортання Active Directory. Розгорнути ці програми в домені можна, але потрібна ручна робота адміністратора.
Звичайно, адміністратор може використовувати редактори типу Orca для створення MST-файлу.
Мал. 1. Редактор Orca. Спроба створити MST-файл для TrustAccess.Agent.1.3.msi
Але невже ви вважаєте, що все так просто? Відкрив MSI-файл Orca, підправив пару параметрів і отримав готовий файл відповідей? Не тут то було! По-перше, сам Orca просто так не встановлюється. Потрібно завантажити Windows Installer SDK, з нього за допомогою 7-zip витягти orca.msi і встановити його. Ви про це знали? Якщо ні, тоді вважайте, що витратили 15 хвилин на пошук потрібної інформації, завантаження ПЗ і встановлення редактора. Але на цьому всі муки не закінчуються. У MSI-файлу багато параметрів. Подивіться на рис. 1 – це лише параметри групи Property. Який з них змінити, щоб вказати IP-адресу сервера? Ви знаєте? Якщо ні, тоді у вас два варіанти: або вручну налаштувати кожен комп'ютер або звернутися до розробника, чекати на відповідь і т.д. Враховуючи, що розробники іноді відповідають досить довго, час розгортання програми залежить тільки від швидкості вашого переміщення між комп'ютерами. Добре, якщо ви заздалегідь встановили інструмент дистанційного керування - тоді розгортання пройде швидше.
Кіберсейф Міжмережевий екран самостійно створює MST-файл, потрібно лише встановити на один комп'ютер, отримати заповітний MST-файл і вказати його в груповій політиці. Про те, як це зробити, можна прочитати у статті «Розмежування інформаційних систем захисту персональних даних» . За якісь півсача (або навіть менше) ви зможете розгорнути міжмережевий екран на всі комп'ютери мережі.
Саме тому Кіберсейф Міжмережевий екран отримує оцінку 5, а його конкуренти - 3 (спасибі хоч інсталятори виконані у форматі MSI, а не .exe).
| Продукт | Оцінка |
| VipNet Office Firewall | |
| Кіберсейф Міжмережевий екран | |
| TrustAccess |
Зручність використання
Брандмауер – це не текстовий процесор. Це досить специфічний програмний продукт, використання якого зводиться до принципу "встановив, налаштував, забув". З одного боку, зручність використання – другорядний фактор. Наприклад, iptables в Linux не можна назвати зручним, але ж їм користуються? З іншого боку - чим зручніше брандмауер, тим швидше вдасться захистити ІСПДн і виконувати деякі функції з її адміністрування.Що ж, давайте подивимося, наскільки зручні міжсетеві екрани в процесі створення і захисту ІСПДн.
Почнемо ми з VipNet Office Firewall, який, на наш погляд, не дуже вдалий. Виділити комп'ютери до груп можна лише за IP-адресами (рис. 2). Іншими словами, є прив'язка до IP-адрес і вам потрібно або виділяти різні ІСПД в різні підмережі, або ж розбивати одну підмережу на діапазони IP-адрес. Наприклад, є три ІСПДн: Управління, Бухгалтерія, ІТ. Вам потрібно налаштувати DHCP-сервер так, щоб комп'ютерам із групи Управління «роздавалися» IP-адреси з діапазону 192.168.1.10 – 192.168.1.20, Бухгалтерія 192.168.1.21 – 192.168.1.31 і т.д. Це не дуже зручно. Саме за це з VipNet Office Firewall буде знято один бал.
Мал. 2. При створенні груп комп'ютерів спостерігається явна прив'язка до IP-адреси
У міжмережевому екрані Кіберсейф, навпаки, немає жодної прив'язки до IP-адреси. Комп'ютери, що входять до складу групи, можуть перебувати в різних підмережах, у різних діапазонах однієї підмережі і навіть за межами мережі. Подивіться на рис. 3. Філії компанії розташовані у різних містах (Ростов, Новоросійськ і т.д.). Створити групи дуже просто – достатньо перетягнути імена комп'ютерів у потрібну групу та натиснути кнопку Застосувати. Після цього можна натиснути кнопку Встановити правилана формування специфічних кожної групи правил.
Мал. 3. Управління групами в Кіберсейф Міжмережевий екран
Що стосується TrustAccess, то слід зазначити тісну інтеграцію із самою системою. У конфігурацію брандмауера імпортуються вже створені системні групи користувачів та комп'ютерів, що полегшує керування міжмережевим екраном серед ActiveDirectory. Ви можете не створювати ІСПД в самому брандмауері, а використовувати вже наявні групи комп'ютерів в домені Active Directory.
Мал. 4. Групи користувачів та комп'ютерів (TrustAccess)
Всі три брандмауери дозволяють створювати так звані розклади, завдяки яким адміністратор може налаштувати проходження пакетів за розкладом, наприклад, заборонити доступ до Інтернету в неробочий час. У VipNet Office Firewall розклади створюються у розділі Розклади(рис. 5), а Кіберсейф Міжмережевий екран час роботи правила задається щодо самого правила (рис. 6).
Мал. 5. Розклади у VipNet Office Firewall
Мал. 6. Час роботи правила в Кіберсейф Міжмережевий екран
Мал. 7. Розклад у TrustAccess
Всі три брандмауери пропонують дуже зручні засоби для створення самих правил. А TrustAccess ще й надає зручний майстер створення правила.
Мал. 8. Створення правила у TrustAccess
Поглянемо ще одну особливість - інструменти отримання звітів (журналів, логів). У TrustAccess для збору звітів та інформації про події потрібно встановити сервер подій (EventServer) та сервер звітів (ReportServer). Не те, що це недолік, а скоріше особливість ("feature", як говорив Білл Гейтс) цього брандмауера. Що стосується міжмережевих екранів Кіберсейф і VipNet Office, то обидва брандмауери надають зручні засоби перегляду журналу IP-пакетів. Різниця лише в тому, що Кіберсейф Міжмережевий екран спочатку відображає всі пакети, і ви можете відфільтрувати потрібні, використовуючи можливості вбудованого в заголовок таблиці фільтра (рис. 9). А у VipNet Office Firewall спочатку потрібно встановити фільтри, а потім уже переглянути результат.
Мал. 9. Управління журналом IP-пакетів у Кіберсейф Міжмережевий екран
Мал. 10. Управління журналом IP-пакетів у VipNet Office Firewall
З міжмережевого екрану Кіберсейф довелося зняти 0.5 бали через відсутність функції експорту журналу в Excel або HTML. Функція далеко не критична, але іноді корисно просто і швидко експортувати з журналу кілька рядків, наприклад, для розбору польотів.
Отже, результати цього розділу:
| Продукт | Оцінка |
| VipNet Office Firewall | |
| Кіберсейф Міжмережевий екран | |
| TrustAccess |
Вартість
Обійти фінансову сторону питання просто неможливо, адже часто вона стає вирішальною при виборі того чи іншого продукту. Так, вартість однієї ліцензії ViPNet Office Firewall 4.1 (ліцензія на 1 рік на 1 комп'ютер) становить 15 710 грн. А вартість ліцензії на 1 сервер та 5 робочих станцій TrustAccess обійдеться в 23 925 грн. З вартістю даних програмних продуктів ви зможете ознайомитись за посиланнями наприкінці статті.Запам'ятайте ці дві цифри 15710 за один ПК (на рік) та 23 925 р. за 1 сервер та 5 ПК (на рік). А тепер увага: за ці гроші можна купити ліцензію на 25 вузлів Кіберсейф Міжмережевий екран (15178) або трохи додати і буде цілком достатньо на ліцензію на 50 вузлів (24025). Але найголовніше у цьому продукті – це не вартість. Найголовніше – це термін дії ліцензії та технічної підтримки. Ліцензія на Кіберсейф Міжмережевий екран без терміну дії, як і технічна підтримка. Тобто ви платите один раз і отримуєте програмний продукт із довічною ліцензією та технічною підтримкою.
| Продукт | Оцінка |
| VipNet Office Firewall | |
| Кіберсейф Міжмережевий екран | |
| TrustAccess |
Термін поставки
На наш досвід час поставки VipNet Office Firewall складає близько 2-3 тижнів після звернення до ВАТ «Інфотекс». Чесно кажучи, це досить довго з огляду на те, що купується програмний продукт, а не ПАК.Час доставки TrustAccess, якщо замовляти через «Софтлайн», становить від 1 дня. Реальніший термін - 3 дні, враховуючи деяку затримку «Софтлайну». Хоча можуть поставити і за 1 день, все залежить від завантаженості «Софтлайна». Знову ж таки - це особистий досвід, реальний термін конкретному замовнику може відрізнятися. Але в будь-якому разі термін постачання досить низький, що не можна не відзначити.
Що стосується програмного продукту КіберСейф Міжмережевий екран, то виробник гарантує постачання електронної версії протягом 15 хвилин після оплати.
| Продукт | Оцінка |
| VipNet Office Firewall | |
| Кіберсейф Міжмережевий екран | |
| TrustAccess |
Що вибрати?
Якщо орієнтуватися лише за вартістю продукту та технічної підтримки, то вибір очевидний – Кіберсейф Міжмережевий екран. Кіберсейф Міжмережевий екран має оптимальне співвідношення функціонал/ціна. З іншого боку, якщо вам потрібна підтримка Secret Net, потрібно дивитися у бік TrustAccess. А от VipNet Office Firewall можемо порекомендувати хіба що як хороший персональний брандмауер, але для цих цілей існує безліч інших безкоштовних рішень.Огляд виконано фахівцями
компанії-інтегратора ТОВ «ДОРФ»
