Содержание
ВведениеКраткое резюме
NGFW против классического FW
Ключевые функции и улучшения версии 5.6.2
Модельный ряд и производительность (релиз 5.6.0)
Сертификация и нормативное соответствие
Практические расчёты
FAQ
Заключение
Введение
VipNet xFirewall 5 — комплексная сетевая платформа, объединяющая классический FW, DPI‑анализ, IPS, шлюзовой антивирус и интеграцию с Active Directory. В материале разобраны архитектура решения, новые версии 5.6.x, актуальные сертификаты, модельный ряд (от xF100 до xF65000) и типовые сценарии внедрения. Основано на вебинаре ИнфоТеКС и дополнено официальными спецификациями.
Краткое резюме
Межсетевой экран VipNet xFirewall 5 обеспечивает комплексную фильтрацию сетевого трафика на всех уровнях — от L3/L4 до уровня приложений.
Ключевые функциональные модули решения:
DPI‑модуль — распознаёт более 5 000 протоколов и сетевых сервисов, что позволяет точно идентифицировать приложения и контролировать их использование;
IPS (система предотвращения вторжений) — обеспечивает защиту от атак, используя как сигнатурные, так и эвристические методы обнаружения угроз;
шлюзовой антивирус Athena — проверяет передаваемые файлы в изолированной среде (песочнице), предотвращая проникновение вредоносного ПО в корпоративную сеть.
Решение сертифицировано ФСТЭК России (сертификат № 4501, 4‑й уровень доверия), срок действия — до 28.12.2026 г.
Линейка устройств масштабируется под задачи любой инфраструктуры: от компактного настольного xF100 (производительность: 1,6 Гбит/с в режиме межсетевого экрана, 395 Мбит/с в режиме DPI) до высокопроизводительного дата‑центрового xF65000 (76 Гбит/с в режиме межсетевого экрана).
1. NGFW против классического FW
| Параметр | Классический FW | VipNet xFirewall 5 |
|---|---|---|
| Уровни OSI | 3–4 | 3–7 |
| Контроль приложений | — | DPI > 5000 сигнатур |
| SSL Inspection | Нет | Сертифицированный TLS Proxy |
| IPS/IDS | Внешнее | Встроенный модуль SOVA |
| Антивирус | — | Athena (песочница) |
2. Ключевые функции и улучшения версии 5.6.2
DPI & Application Control
- Распознаёт зашифрованные протоколы, включая HTTP/2 и QUIC.
- Категоризация «пользователь — приложение — действие» без привязки к IP.
IPS (SOVA 2.0)
- Обновляемая база правил, собственный TI‑портал AMTIP для IOC‑фидов.
- Поддержка fail‑open, чтобы не рвать L4‑сессии при перегрузке.
SSL/TLS Inspection
- Forward‑proxy c действиями: «пропуск», «блок», «расшифровка + DPI/AV».
- Исключения для ФЗ‑152/ГОСТ Р 57580: медицинские и банковские сервисы по SNI.
Сетевые сервисы
DNS, DHCP/DHCP‑Relay, NTP, OSPF v2, LACP, QoS DiffServ .
Отказоустойчивость
Active‑standby‑кластер с синхронизацией сессий; двойные PSU в xF1000 Q8/xF5000.
3. Модельный ряд и производительность (релиз 5.6.0)
| Модель |
FW UDP 1518 байт |
Application Control(DPI) |
NGFW (DPI + IPS) |
SSL Inspection |
Одноврем. сессии |
|---|---|---|---|---|---|
| xF100 | 1,6 Гбит/с | 395 Мбит/с | 40 Мбит/с | 50 Мбит/с | 0,5 млн |
| xF1000 Q8 | 11 Гбит/с | 2,6 Гбит/с | 480 Мбит/с | 480 Мбит/с | 5 млн |
| xF5000 Q2 | 30 Гбит/с | 7,8 Гбит/с | 1,3 Гбит/с | 1,3 Гбит/с | 30 млн |
| xF65000 | 76 Гбит/с FW | 13 Гбит/с NGFW | — | — | 30 млн |
Производительность зависит от активированных модулей и профиля трафика.
4. Сертификация и нормативное соответствие
Межсетевой экран VipNet xFirewall 5 соответствует широкому спектру российских и международных требований к информационной безопасности и имеет следующие сертификаты и статусы:
Сертификат ФСТЭК России № 4501 — подтверждён 4‑й уровень доверия согласно требованиям к средствам защиты информации. Соответствие профилям защиты:
межсетевые экраны (МЭ): А4/Б4;
системы обнаружения вторжений (СОВ): С4.
Соответствие требованиям к объектам критической информационной инфраструктуры (КИИ) — категория К1 (высшая категория значимости).
Защита систем персональных данных (СПДн) — уровень защищённости 1 (УЗ1).
Государственные информационные системы (ГИС) — соответствие требованиям к ГИС 1‑го класса защищённости.
Безопасность финансовых транзакций (БФТ) — поддержка до 1‑го класса.
Декларация соответствия ЕАЭС № RU/66119/22 — соответствие техническим регламентам Таможенного союза: ТР ТС 004/2011, ТР ТС 020/2011, ТР ТС 037/2016.
Продукт включён в реестры Минцифры и Минпромторга РФ, что подтверждает его статус как отечественного решения, рекомендованного к использованию в государственных и корпоративных информационных системах.
5. Практические расчёты
Пиковая нагрузка = (Пользователи × Сессий_на_польз.) × Удельный_трафик Реком. запас ≥ 30 % к паспортной Throughput нужного режима
Пример: 300 пользователей × 200 сессий ≈ 60 к сессий. Для SSL Inspection потребуется минимум xF1000 Q8: 480 Мбит/с ÷ 300 ≈ 1,6 Мбит/с на пользователя (веб+HD‑видео).
6. Q&A
| Вопрос | Ответ |
|---|---|
| Достаточна ли IPS (SOVA) без внешнего IDS? | Да, но активный IPS снижает throughput до режима NGFW. При высокой загрузке ставьте отдельный IDS. |
| Интеграция с TIAS? | Логи отправляются напрямую; отдельный IDS не обязателен. |
| Можно ли убрать десктопный антивирус? | Нет, Athena сканирует только сетевые потоки. |
| Доступна ли Virtual Appliance? | Версия VA 5.6.x есть, но поставляется для пилотов, без сертификации. |
Заключение
Межсетевой экран VipNet xFirewall 5 объединяет передовые функции класса Next‑Generation Firewall (NGFW), полное соответствие требованиям ФСТЭК России и высокую масштабируемость — от защиты небольших филиалов до развёртывания в крупных центрах обработки данных (ЦОД).
Регулярные обновления линейки версий 5.6.x позволили существенно расширить функциональность решения:
Расширение DPI‑базы: увеличено число распознаваемых протоколов и сервисов, что повышает точность классификации трафика и контроля приложений.
Улучшение SSL‑Proxy: оптимизирована работа с зашифрованным трафиком — усилена безопасность и снижено влияние на производительность сети при расшифровке SSL/TLS‑соединений.
Интеграция AM Threat Intelligence: добавлена возможность использования данных об актуальных киберугрозах для проактивного выявления и блокирования атак.
Для оценки эффективности решения в условиях вашей инфраструктуры предлагаем запросить:
демо‑стенд — для ознакомления с интерфейсом и базовыми функциями;
пилот‑лицензию — для полноценного тестирования производительности и функционала в реальном профиле трафика вашей сети.
