Как стать автором
Обновить

Комментарии 33

Спасибо за статью, но совсем не согласен с:
Главная идея NGFW — глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control)
.
Как-то всё в одну кучу. DPI может иметь и обычный файрвол (не обязательно NGFW, та же инспекция на ASA, на маршрутизаторах). IPS — тоже не обязательный атрибут NGFW. Также, DPI не всегда равно IPS.
Я для себя всегда считал, что NGFW — это когда к обычному FireWall добавлена фильтрация по категориям сайтов, репутациям сайтов и по приложениям (AVC). Также NGFW — наличие интеграции с корпоративным каталогом пользователей, чтобы можно было создавать правила по именам и группам.
Добрый день. Спасибо за отзыв.
По замечанию. Я старался коротко описать данный вопрос, дабы не растягивать статью. Возможно поэтому получился сумбур. В целом нет однозначного определения NGFW. Каждый вендор трактует его по своему, в зависимости от имеющихся технологий. Например Fortinet определяет приложения исключительно с помощью IPS. У Cisco DPI никак не связан с IPS. У CheckPoint тоже свои технологии. Главная задача — определять приложения, а сделать это можно только разобрав пакет до 7-го уровня. Делать это с помощью DPI, IPS или еще каким-то образом — зависит от технологий вендора.
Я работал с Check Point на стороне интегратора, а потом дистрибьютора (до 2013 года). По состоянию на тогда разделение Gartner квадрантов на UTM и NGFW выглядело больше как маркетинговые изыскания. Это слова синонимы, но UTM больше позиционировался в Small-Medium сегмент, а NGFW — в крупный энтерпрайз. Ну и немалую лепту в формирование NGFW внес Palo Alto, который себя как революционное решение везде позиционировал (да и сейчас он в лидерах квадранта).
Насколько я знаю, Fortinet сейчас активно с Check Point конкурирует: уровень цен значительно ниже, качество нормальное, инсталляционная база уже довольно большая сформировалась.
Сейчас еще Cisco с решением Firepower Threat Defence активно пытается продвигаться и конкурировать (что у них даже получается, ввиду их репутации и большой базы клиентов). Однако, на мой субъективный взгляд, продукт еще очень сильно сырой.
Что касается конкуренции Check Point и Fortinet, то мне кажется, что это совсем разные сегменты рынка, но опять же, это мое субъективное мнение. Не готов в комментариях разводить холивар, если что, пишите в личку)
Поскольку термин next generation firewall придумал гартнер, (в своей публикации Defining the
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/

А потом уже в эту лодку попытались все заскочить =)

А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
У Sophos уже есть XGFW — The next thing in next-gen: Ultimate firewall performance, security, and control
Новый тренд)
Они тут тоже не первые =) У того же чекпоинта версия 5.5 называлась уже NG, а 6.5 — NGX =))
Но это по памяти. Помню, была еще 6.2, но кто была она — еще NG или уже NGX — не помню
Подскажите как сохранить конфигурацию Check Point чтобы можно было её просмотреть, а лучше отредактировать без самого устройства?
У Check Point нет единого конфигурационного файла, как например у Cisco ASA. Это множество файлов. Самый простой способ собрать их — cpinfo.
Не совсем понимаю вашу задачу. Зачем редактировать без самого устройства в файлах? Это можно сделать на менеджмент сервере, а потом просто установить политику, когда устройство будет включено. Нужен только первоначальный коннект (SIC).
За что мне не нравиться CheckPoint:
1. Один GUI. Консоль возможна только при сильном желании и упорстве. Как минимум искать команды тяжелее чем комиксы «прокликай по этим кнопочкам»
2. Разные вещи настраиваются в разных местах. Нужна маршрутизация — дуй в веб. Нужны правила для трафика — велкам в консоль.
3. Схема применения — это отдельная песня. Сохрани тут, потом тут примени, потом залей все это на устройство.
4. За 3 года 3 раза повисла намертво железка. Причем 48 серия. У меня даже циска 88 серии себе такого не позволяла.
5. Логи мне 2 года не может подчинить офф поддержка. 4 раза «чинили», через неделю опять не работает. Просто забили.

P.S. Циска со своим фаеррауером еще хуже. Но там хотя бы есть отмазка из-за недавнего слияния :)
Лежала подобная железка UTM-1 на складе конторы, в которую я пришел админить. Было только известно, что ее покупали для замены ломаного керио, установленного на обычном ПК. Мол один интегратор предложил это решение. Потом как оказалось ее не смогли внятно настроить и она не могла заменить керио полноценно, в связи с чем была убрана с глаз подальше в дальний угол склада.
3. Схема применения — это отдельная песня. Сохрани тут, потом тут примени, потом залей все это на устройство.

Вот-вот. Как оказалось, у нашей еще диск битый был (на складе оборудование и не так швыряют...)
Пробовал воскресить, но так там все наворочено оказалось, что хотел убрать ее уже на склад, но решил поставить cf card и залил на нее pfsense. Так вот теперь уже лет 7 работает и не виснет )))

Check Point Software Technologies не зря так называется — раньше все их продукты исключительно программными были. UTM-1 это первая аппаратная линейка, детских болезней там хватало…
Отличный пример забивания гвоздей микроскопом.
От GUI CheckPoint уходит, в R80 добавили даже неплохой API — большинство задач можно автоматизировать с помощью Ansible, например.
Маршрутизацию можно настраивать через CLISH — всё подробно описано в документации (доки у CheckPoint, кстати, неплохие, хоть до уровня Cisco и не дотягивают). Рекомендую скачать пэкэдж на саппортцентре для актуальной версии.
Евгений, во-первых спасибо за статью! Планируете ли вы сделать цикл статей в своём блоге NETSKILLS о Checkpoint? Было бы крайне познавательно, т.к. информации по Checkpoint в рунете кот наплакал :(
Да, базовый курс однозначно будет.
Весомый плюс, по сравнению с конкурирующими продуктами, и о котором не сказано: не смотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях.
В эксплуатации, очень не хватает применения настроек «на лету». Даже в кластерной конфигурации такого нет, и из-за одного юзера (в определенных случаях) может страдать вся филиальная сеть, в момент install policy.
Да, по поводу сертификации очень важное замечание. Добавлю в пост.
По поводу поведения кластера во время установки политики — это ненормально.
Какую версию софта/аплаенсов Вы используете? В каком режиме работает кластер?
Используем в основном как антивирус, какое-то время не могли обновиться на новые версии (с поддержкой windows 10) из-за того что было сломано подтягивание антивирусных сигнатур клиентами с корпоративного сервера (лезли в интернет, но мы их туда не пускаем). Самое интересное что техподдержка ничего об этом не знала и не смогла помочь. Сейчас вроде это починили, но встал вопрос миграции с 70.20.1, не выгружается база. В общем пока что общение с этим продуктом вызывает одни вопросы, хотя есть ряд интересных плюшек.
В 77.30 все попроще и багов значительно меньше (хотя тоже есть). Очень рекомендую обновиться.
Жду, когда отдел закупок таки завершит свои тендеры и купит поддержку. Как решать баг с миграцией с базы 7.20.1 мне пока непонятно.
Вообще, все хозяйство у нас интеграторы развернули на Windows, стоит ли уйти на Gaia в будущем?
Последняя версия Endpoint Server на данный момент — R77.30.03 — Gaia-only, Windows не поддерживается в принципе (насчёт дальнейших планов не знаю).
Однозначно на Gaia. Ни Windows ни Splat больше не поддерживается.
Что-то нигде не найду толковых спецификаций по железу:( Help
А что конкретно интересует? У каждой модели есть свой datasheet. Или вопрос по лицензированию?
Check Point обычно не указывает инфу по железу в даташитах. Но энтузиасты сами её публикуют. Например, вот один из последний апдейтов.
Но это если интересны аплаенсы от вендора. Сам же софт (и SMS, и GW) можно ставить на практически любые сервера или использовать виртуальные машины.
По поводу серверов есть строгий перечень поддерживаемого оборудования. Если его не придерживаться, то вам могут просто отказать в тех.поддержке, сказав, что вы используете не саппортное железо. На практике проще поставить бесплатный ESXi на сервер, а уже там развернуть виртуальный CheckPoint. Проблем так будет гораздо меньше.
Действительно, это важно для тех кому нужна техподдержка. Список поддерживаемого оборудования (HCL).
Но в целом, Gaia — это коммерческий продукт на Red Hat Enterprise Linux, и, если очень хочется попробовать Check Point на «голом железе», можно смотреть HCL для Red Hat.
Можно то можно, но дело это, ИМХО, мало осмысленное.
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.

Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.

Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.

Вобщем это совсем не опенсорс, другие правила.
Огромнейше благодарю!
Отличный слайд, практически полностью охватывает возможности Check Point.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.