Все за и против: сравниваем Fortinet и Chek Point

Fortinet и Check Point — это два известных производителя межсетевых экранов (firewall), и оба они предоставляют различные решения для обеспечения безопасности в сетях. Давайте сравним их основные возможности и определим, для каких компаний лучше подходит тот или иной межсетевой экран:
Производительность:



FortiGate:
Одно из отличий FortiGate – повышенная производительность обработки шифрованного трафика, что актуально для SSL-VPN соединений и анализа HTTPS-трафика пользователей. FortiGate выигрывает в производительности за счёт использования собственных процессоров для распределения задач и эффективного управления ресурсами устройства. Различные аппаратные платформы FortiGate с возможностью кластеризации позволяют обеспечить необходимую пропускную способность как для малого офиса, так и для крупного распределённого ЦОДа.
Check Point:
Check Point предлагает различные модели межсетевых экранов, включая оборудование для малых офисов, средних предприятий и крупных корпораций. Производительность устройства зависит как от аппаратной платформы, так и от её модификаций – некоторые модели предоставляются с разным объёмом оперативной памяти, SSD и т.д. В целом Check Point обеспечивает достаточную производительность для большинства задач по обеспечению безопасности предприятия.
Простота использования:



FortiGate:
Управление устройством осуществляется при помощи графического интерфейса или консоли. Для типовых операций существуют видеоподсказки и пошаговые помощники настройки. Кроме того, исчерпывающая документация и база данных позволяет разобраться со сложными моментами в настройках и конфигурации. В составе фабрики безопасности FortiGate позволяет управлять множеством самых разных устройств производства Fortinet посредством единой консоли. А для управления сразу несколькими FortiGate существует устройство FortiManager, с помощью которого можно производить настройки на нескольких межсетевых экранах с минимальными усилиями из одного интерфейса.

Check Point:
Для своей работы межсетевые экраны Check Point требуют обязательной покупки отдельного сервера управления в форм-факторе, удобном для конечного пользователя: физическое устройство, виртуальная машина, облачный сервис. Настройки межсетевого экрана производятся из консоли управления – приложения, которое подключается к серверу управления. Такая схема может казаться усложнённой, но позволяет централизованно управлять несколькими межсетевыми экранами сразу. К сожалению, даже при покупке одного межсетевого экрана обязательно подключение его к серверу управления. Интерфейс Check Point не пугает большим количеством меню, но из-за этого сложные операции по настройке потребуют долгого и вдумчивого изучения документации на сайте производителя или гайдов на youtube.

Возможности интеграции:



FortiGate:
Компания Fortinet не ограничивается разработкой одних только межсетевых экранов. FortiGate, помимо выполнения своих основных задач, позволяет централизованно управлять коммутаторами, точками доступа, камерами, системами антиспама и веб-фильтрации, а также многими другими продуктами Fortinet. Такая концепция называется «Фабрикой безопасности» и позволяет организовать единый центр просмотра событий всех отдельных систем, а также обеспечить централизованное управление этими системами при помощи FortiOS. Фабрика безопасности расширяет прозрачность и безопасность сети, позволяя автоматически реагировать на угрозы и нейтрализовать атаки на самых ранних этапах.
Check Point:
Check Point идёт по несколько другому пути, расширяя возможности безопасности путем добавления новых возможностей. Например, интеграция с собственной песочницей Sand Blast (предоставляется в облаке или локальным устройством), которая позволяет выявлять угрозы нулевого дня на основании поведения подозрительной программы. Кроме этого, Check Point предлагает дополнительные системы мониторинга и управления для более глубокого анализа логов устройств и трафика, а также интеграцию посредством API с другими внешними системами. В отличие от Fortinet, у Check Point нет широких возможностей для автоматизации реагирования на угрозы в сети, но в рамках устройств контура безопасности возможен более глубокий анализ трафика и файлов.


Безопасность использования:



FortiGate:
Компания Fortinet постоянно находит и исправляет возможные уязвимости в аппаратных платформах и программном обеспечении своих устройств. При обнаружении уязвимость сразу вносится в перечень CVE и выносятся рекомендации по обновлению ПО или наоборот откату к предыдущей версии. Check Point
: Компания Check Point говорит о том, что в их ПО практически нет уязвимостей, а найденные оперативно исправляются. Однако, большинство обновлений содержат в себе исправление тех или иных CVE, которые публикуются уже после их устранения.
Хорош ли такой подход к безопасности продукта? Каждый решает сам для себя.




Стоимость:



FortiGate:
При равной производительности устройство FortiGate будет стоить, как правило, дешевле аналога Check Point. Гибкая модель подписок позволяет выбрать необходимые элементы защиты и не переплачивать лишнее за неиспользуемый функционал. Check Point:
За счёт обязательной покупки системы управления решение Check Point будет дороже аналогичного от Fortinet, однако в дальнейшем при расширении можно докупать только шлюзы безопасности без сервера управления (пока не достигнут лимит для этого сервера). Стоимость подписок так же зависит от требуемого функционала, но доступ к некоторым программным возможностям необходимо покупать отдельно.




Итоги:
К плюсам FortiGate относится его цена, эффективность, простота управления и внедрения, а также возможности интеграции с другими системами безопасности, как производства Fortinet, так и с внешними. FortiGate отлично подходит для внедрения в организацию, которая не имеет выстроенной системы защиты информации, в таком случае FortiGate станет отличным ядром для дальнейшего развития безопасности всех систем. Также FortiGate хорошо подходит для постепенной миграции существующих систем безопасности за счёт гибкой масштабируемости. Концепция фабрики безопасности Fortinet позволяет постепенно добавлять устройства защиты, развивая фабрику как по функциональным возможностям, так и по охвату предприятия в целом. Check Point подойдёт для крупных проектов, в которых не планируется гибкой масштабируемости и заранее известны все условия. В таких условиях можно переплатить за опыт прошлых лет и получить дополнительную аналитику атак на основе логов. Ещё одним плюсом Check Point является более продвинутая песочница, чем у Fortinet, но её использование также несет дополнительные расходы.