Содержание
ВведениеКраткое резюме
NGFW против классического FW
Ключевые функции и улучшения версии 5.6.2
Модельный ряд и производительность (релиз 5.6.0)
Сертификация и нормативное соответствие
Практические расчёты
FAQ
Заключение
Введение
VipNet xFirewall 5 — комплексная сетевая платформа, объединяющая классический FW, DPI‑анализ, IPS, шлюзовой антивирус и интеграцию с Active Directory. В материале разобраны архитектура решения, новые версии 5.6.x, актуальные сертификаты, модельный ряд (от xF100 до xF65000) и типовые сценарии внедрения. Основано на вебинаре ИнфоТеКС и дополнено официальными спецификациями.
Краткое резюме
VipNet xFirewall 5 фильтрует трафик на всех уровнях: от L3/L4 до содержимого приложений. DPI‑модуль распознаёт > 5000 протоколов и сервисов, IPS блокирует как сигнатурные, так и эвристические атаки, а шлюзовой антивирус Athena проверяет файлы в песочнице. Сертификат ФСТЭК № 4501 (4‑й уровень доверия) действует до 28.12.2026 г. Линейка устройств расширена: от настольного xF100 (1,6 Гбит/с FW, 395 Мбит/с DPI) до дата‑центрового xF65000 (76 Гбит/с FW).
1. NGFW против классического FW
| Параметр | Классический FW | VipNet xFirewall 5 |
|---|---|---|
| Уровни OSI | 3–4 | 3–7 |
| Контроль приложений | — | DPI > 5000 сигнатур |
| SSL Inspection | Нет | Сертифицированный TLS Proxy |
| IPS/IDS | Внешнее | Встроенный модуль SOVA |
| Антивирус | — | Athena (песочница) |
2. Ключевые функции и улучшения версии 5.6.2
DPI & Application Control
- Распознаёт зашифрованные протоколы, включая HTTP/2 и QUIC.
- Категоризация «пользователь — приложение — действие» без привязки к IP.
IPS (SOVA 2.0)
- Обновляемая база правил, собственный TI‑портал AMTIP для IOC‑фидов.
- Поддержка fail‑open, чтобы не рвать L4‑сессии при перегрузке.
SSL/TLS Inspection
- Forward‑proxy c действиями: «пропуск», «блок», «расшифровка + DPI/AV».
- Исключения для ФЗ‑152/ГОСТ Р 57580: медицинские и банковские сервисы по SNI.
Сетевые сервисы
DNS, DHCP/DHCP‑Relay, NTP, OSPF v2, LACP, QoS DiffServ .
Отказоустойчивость
Active‑standby‑кластер с синхронизацией сессий; двойные PSU в xF1000 Q8/xF5000.
3. Модельный ряд и производительность (релиз 5.6.0)
| Модель |
FW UDP 1518 байт |
Application Control(DPI) |
NGFW (DPI + IPS) |
SSL Inspection |
Одноврем. сессии |
|---|---|---|---|---|---|
| xF100 | 1,6 Гбит/с | 395 Мбит/с | 40 Мбит/с | 50 Мбит/с | 0,5 млн |
| xF1000 Q8 | 11 Гбит/с | 2,6 Гбит/с | 480 Мбит/с | 480 Мбит/с | 5 млн |
| xF5000 Q2 | 30 Гбит/с | 7,8 Гбит/с | 1,3 Гбит/с | 1,3 Гбит/с | 30 млн |
| xF65000 | 76 Гбит/с FW | 13 Гбит/с NGFW | — | — | 30 млн |
Производительность зависит от активированных модулей и профиля трафика.
4. Сертификация и нормативное соответствие
- ФСТЭК № 4501 – 4‑й уровень доверия; профили МЭ А4/Б4 и СОВ С4.
- КИИ К1, СПДн УЗ1, ГИС 1 кл., БФТ до 1 кл., ТР ТС 004/020/037 (Декларация ЕАЭС № RU/66119/22).
- В реестрах Минцифры и Минпромторга РФ.
5. Практические расчёты
Пиковая нагрузка = (Пользователи × Сессий_на_польз.) × Удельный_трафик Реком. запас ≥ 30 % к паспортной Throughput нужного режима
Пример: 300 пользователей × 200 сессий ≈ 60 к сессий. Для SSL Inspection потребуется минимум xF1000 Q8: 480 Мбит/с ÷ 300 ≈ 1,6 Мбит/с на пользователя (веб+HD‑видео).
6. Q&A
| Вопрос | Ответ |
|---|---|
| Достаточна ли IPS (SOVA) без внешнего IDS? | Да, но активный IPS снижает throughput до режима NGFW. При высокой загрузке ставьте отдельный IDS. |
| Интеграция с TIAS? | Логи отправляются напрямую; отдельный IDS не обязателен. |
| Можно ли убрать десктопный антивирус? | Нет, Athena сканирует только сетевые потоки. |
| Доступна ли Virtual Appliance? | Версия VA 5.6.x есть, но поставляется для пилотов, без сертификации. |
Заключение
VipNet xFirewall 5 сочетает NGFW‑функции, соответствие ФСТЭК и высокую масштабируемость (от филиала до ЦОДа). Регулярные обновления 5.6.x расширили DPI‑базу, улучшили SSL‑Proxy и добавили AM Threat Intelligence. Запросите демо‑стенд или PILOT‑лицензию, чтобы протестировать производительность в вашем профиле трафика.
