Чем Traffic Inspector Next Generation отличается от OPNsense

При выборе продукта заказчики Смарт-Софт часто интересуются, чем отличается универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation от OPNsense. Многие воспринимают Traffic Inspector Next Generation как «русифицированный OPNsense», поэтому их дорога к нашему продукту оказывается более сложной и извилистой: они проводят бесплатное тестирование Traffic Inspector Next Generation, а после окончания пробного периода скачивают OPNsense, поскольку убеждены, что функционально продукты не отличаются ничем, кроме языка интерфейса. Но тут их ждёт сюрприз. Оказывается, что разница есть, и она весьма ощутима.

 

Протестируйте Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.

 

Нашей техподдержке регулярно приходится помогать таким клиентам. Они обращаются за консультацией, а в разговоре выясняется, что установив OPNsense, они никак не могут настроить в нём то, что работало в пробной версии Traffic Inspector Next Generation. Просто потому, что такой функциональности там нет.

Для нас важно, чтобы решение о внедрении Traffic Inspector Next Generation было осознанным и аргументированным, поскольку мы вложили в него много труда, значительно улучшив по сравнению с базовым OPNsense. Чтобы помочь потенциальным клиентам определиться с выбором, мы подготовили подборку отличий нашего решения.

Цели разработки

OPNsense — многофункциональное UTM-решение с богатыми возможностями, ориентированное на широкую аудиторию. Усреднённый потребитель OPNsense говорит на английском языке, использует домены с латиницей и его вполне устраивают встроенные алгоритмы шифрования. Этого вполне достаточно для типовых задач, которые решает OPNsense, однако создаёт сложности, когда требуется обеспечить комплексную защиту сети в российских условиях.

Действующее законодательство РФ накладывает ряд требований, связанных с персональными данными, защитой детей от вредного контента, использованием отечественных алгоритмов шифрования, обязательной идентификации пользователей публичных беспроводных сетей. Кроме того, государственные и муниципальные организации, субъекты КИИ и компании с госучастием обязаны использовать продукты, входящие в реестр отечественного ПО.

Анализируя спрос на отечественные средства защиты информации, мы поставили перед собой задачу создать мощный многофункциональный UTM-шлюз, адаптированный для использования в российских организациях в соответствии с нормами российского законодательства, с возможностью масштабирования от небольших организаций до крупных географически распределённых компаний с несколькими филиалами.

Наши доработки

Ниже — далеко не полный перечень того, что мы добавили в Traffic Inspector Next Generation. Какие-то возможности мы добавили, реализуя законодательные требования, какие-то — по запросу наших клиентов.

• Централизованное управление географически распределённой сетью UTM-шлюзов на базе Traffic Inspector Next Generation. Теперь администраторы систем защиты могут из одной точки управлять всеми устройствами в филиалах компании, быстро разворачивать обновления для всех подчинённых узлов, удалённо управлять настройками и мониторить сетевую активность пользователей филиалов.
• ГОСТ-шифрование для VPN. Шифрование каналов связи с использованием отечественного алгоритма шифрования позволяет использовать наше решение в компаниях-субъектах КИИ и других учреждениях с повышенными требованиями к защите.
• Интеграция с Active Directory. Мы обеспечили стабильную работу Traffic Inspector Next Generation с современными версиями службы каталогов Microsoft. Это позволяет использовать прозрачную аутентификацию и существующую базу пользователей AD и FreeIPA.
• Интеграция с legacy-AD. Понимая, что некоторые отечественные компании до сих пор используют в инфраструктуре устаревшие версии контроллеров домена, мы реализовали поддержку аутентификации пользователей и для них. Это актуально, например, для производственных и нефтедобывающих компаний, где до сих пор находится в эксплуатации Windows 2000 Server.
• Интеграция с Linux. Мы реализовали возможность работы устройства в среде под управлением отечественных операционных систем на базе Linux в части интеграции с FreeIPA.
• Шлюзовой антивирус отечественного производства. Мы интегрировали в Traffic Inspector Next Generation шлюзовый антивирусный модуль от Лаборатории Касперского. Это позволяет блокировать вредоносный трафик, проходящий через прокси-сервер, до его попадания в сеть компании. Также обеспечивается проверка писем на вирусы по протоколу SMTP.
• Фильтрация контента по категориям. При необходимости Traffic Inspector Next Generation может фильтровать интернет-контент по более чем 100 категориям с помощью дополнительного модуля NetPolice.
• Глубокая инспекция сетевых пакетов. Благодаря этой функции Traffic Inspector Next Generation может блокировать трафик определённых видов приложений, например Skype, BitTorrent или стриминговых сервисов. Нерадивые пользователи не смогут смотреть сериалы в рабочее время.
• Оптимизированная аналитическая подсистема. Созданы отчёты по прокси-серверу, позволяющие осуществлять мониторинг и контроль активности пользователей в сети интернет. Оптимизирован процесс сбора статистики по NetFlow, благодаря чему снизилась нагрузка на процессор при сборе статистики и повышена скорость формирования отчётов.
• Поддержка кириллицы. Traffic Inspector Next Generation поддерживает кириллические имена доменов и кириллицу в отчётности по прокси-серверу. Благодаря этому после визита на мвд.рф не придётся расшифровывать странный набор символов в журнале посещений сайтов.
• Политики доступа в интернет. Чтобы упростить управление доступом пользователей в интернет, мы добавили на прокси-сервер пользовательские и групповые политики. При переводе пользователя в другой отдел администратор может изменить его права буквально в пару кликов.
• Балансировка нагрузки n+2. Функция пока находится в разработке, но уже готов прототип системы, которая состоит из двух узлов-диспетчеров и произвольного количества узлов обработки трафика. Это позволяет проводить горизонтальное масштабирование защитного комплекса на сеть любого размера без ограничения количества устройств. Запуск в промышленную эксплуатацию планируется в начале 2021 г.

Кроме создания специфичных для РФ доработок, мы внесли свой вклад в развитие OPNsense, передав его команде разработанные нашими программистами модули, которые можно использовать в любой стране. А ещё лицензия на Traffic Inspector Next Generation включает в себя качественную техническую поддержку на русском языке. И не стоит забывать, что помимо программного варианта, который нужно разворачивать самостоятельно, мы предлагаем программно-аппаратные решения в виде готовых серверов с надёжным «железом», на котором развёрнуто наше решение.

Итог

Операционная система Apple macOS использует микроядро Mach, а также код из NeXTSTEP и FreeBSD, но при этом никому не приходит в голову заявить, что они просто «добавили свою оболочку». Учитывая количество, важность и сложность доработок, написанных нашими программистами, можно с полной уверенностью сказать, что Traffic Inspector Next Generation и OPNsense — хоть и родственные, но вполне самостоятельные продукты.

 

Протестируйте Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.