Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu “wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Do laboratorium testowego trafiły UTM zaliczane do klasy enterprise. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory.

Testom poddano trzynaście rozwiązań UTM zaliczanych do klasy enterprise, pochodzących od jedenastu dostawców: Astaro, Check Point Software, Cisco, Crossbeam Systems, Fortinet, IBM, Juniper Networks, Nokia, Secure Computing, SonicWall i WatchGuard Technologies. Dziewięciu z nich to dostawcy oprogramowania.

Podczas testów oceniano wydajność UTM. Testowano, czy mogą one zapewniać funkcje zapory ogniowej - z przepustowością liczoną w gigabitach, w środowisku z wirtualnymi LAN-ami, dynamicznym routingiem, oferując przy tym wysoką dostępność i scentralizowane zarządzanie. Sprawdzono, jak działają w takim środowisku z włączonymi mechanizmami zapobiegania wtargnięciom (IPS) i antywirusowymi.

Test pokazał, że żaden produkt nie wyróżnia się zdecydowanie na tle innych. W ogólnej punktacji na czele znalazły się rozwiązania Juniper Networks, Check Point Software i Cisco. Chociaż produkty tych trzech dostawców zostały pokonane w poszczególnych kategoriach (IBM/ISS przewodzi w kategorii IPS, a Fortinet w testach antywirusowych), to jednak osiągnęły najlepszy uśredniony wynik, obejmujący wszystkie kategorie.

Ponieważ Check Point była reprezentowana cztery razy (jej oprogramowanie wykorzystywane jest w firmowym urządzeniu UTM-1 2050, jak również w urządzeniach Crossbeam Systems, IBM i Nokia), a Juniper - dwa razy (ISG-1000 i SSG-520 M), to właśnie tych dwóch dostawców zdominowało czołówkę rankingu punktowego.

Podczas testów potwierdzono bardzo dobrą opinię o wszystkich urządzeniach jako czystych zaporach ogniowych. Jednak mechanizmy UTM to już zupełnie inna sprawa. Większość testowanych produktów ma niepokojąco stromo opadającą charakterystykę wydajności po włączeniu mechanizmów UTM, takich jak IPS czy antywirus. Stwierdzono także, że funkcje IPS i antywirusa w większości produktów nie są szczególnie efektywne. Podczas testów nie wyłoniono produktu, o którym można powiedzieć, że każde przedsiębiorstwo powinno wybrać go w ciemno.

Jak testowano

Dostawcy mieli dostarczyć do testów urządzenia o przepustowości ok. 1 Gb/s. Poproszono także o udostępnienie par urządzeń, aby można było przetestować opcje wysokiej dostępności. Każdy dostawca miał też dostarczyć centralne narzędzia zarządzania - w postaci dedykowanego urządzenia lub indywidualnych aplikacji programowych.

W zaproszeniu do testów podkreślano, że podstawowe testowanie dotyczyć będzie powszechnych w UTM funkcji antywirusowych i IPS. Mile widziane były inne mechanizmy przydatne w przedsiębiorstwie, które mogą być licencjonowane oddzielnie, jak np. dynamiczny routing.

Podczas testów używano kombinacji komercyjnych narzędzi testowych firmy Spirent i Mu Security, standardowych przyrządów pomiarowych, a także przygotowanych we własnym zakresie testów potrzebnych do oceny produktów w ośmiu kategoriach. Każde urządzenie było podłączane do infrastruktury przełączników 10/100/1000 Ethernet firmy Enterasys Networks, urządzeń przełączających KVM firmy Avocent i serwerów z procesorami Intel, na których pracował serwer VMware.

Ocena zarządzania

Poza generalną oceną wypełnienia zadań związanych z polityką bezpieczeństwa i scentralizowanym zarządzaniem, przyglądano się trzem kluczowym dziedzinom: definiowaniu polityk zapory ogniowej, ustalaniu reguł translacji adresów (NAT) i definiowaniu VPN.

Niektóre funkcje definiowania polityki, dotyczące IPS i definicji antywirusowych, były oceniane oddzielnie w sekcji dotyczącej testów IPS i antywirusów. Przy ocenie polityki zapory ogniowej i NAT, na każdym urządzeniu próbowano instalować symulowaną na potrzeby testów politykę przedsiębiorstwa: urządzenie miało być używane w szerszym zakresie niż tylko obwodowa zapora ogniowa z regułami dostosowanymi do ochrony różnych części sieci. W zakresie VPN oceniano (ale nie testowano) zdolność do generowania VPN typu site-to-site pomiędzy różnymi urządzeniami, jak również zdolność do stosowania zapory ogniowej do zdalnego dostępu użytkowników.

Testy wydajności

Do testów wydajności używano narzędzi Spirent WebAvalache i WebReflector, które generowały ruch HTTP przez testowane zapory ogniowe. Ustawiano profil, wykorzystując typową mieszankę ruchu internetowego z obiektami o wielkości od 1 KB do 1,5 MB, i uruchamiano transakcje przechodzące przez zaporę ogniową, z szybkością pozwalającą na obciążenie zapory ogniowej do poziomu 1 Gb/s. Uruchamiano różne scenariusze wydajnościowe w celu określenia rzeczywistych osiągów każdego urządzenia.

Testowanie IPS

Do testowania funkcji IPS wykorzystano urządzenie firmy Mu Security - Mu-4000 Security Analyzer, służące do generowania ataków i raportowania. W testach z użyciem Mu-400 skupiono się na znanych atakach wykorzystujących znane luki. Testowanie wykonano w dwóch kierunkach: "klient do serwera" oraz "serwer do klienta", ponieważ IPS generalnie chroni albo użytkownika, albo serwer, rzadko oba obiekty jednocześnie.

Jeśli zabezpiecza użytkowników, to IPS jest zaprogramowany na ochronę surfujących po internecie lub sprowadzających pliki i dlatego podatnych na szczególne typy ataków skierowanych na aplikacje klienckie, takie jak przeglądarki. W przypadku serwerów IPS jest programowany w całkiem inny sposób, chroniąc serwery webowe, serwery poczty elektronicznej i inne ich typy przed atakami inicjowanymi przez kody złośliwe.