Wielki test UTM dla przedsiębiorstw cz. 2
- Józef Muszyński,
- Joel Snyder,
- 04.02.2008
Niestety, początkowo FortiGate 3600A przechwycił jedynie 60% wysłanych wirusów. Urządzenie ma dość denerwującą konfigurację - przepuszcza zarażoną przesyłkę po usunięciu z niej wirusa. Ponieważ większość wirusów jest dołączana do nielegalnych wiadomości, wysłanie niechcianej poczty bez wirusów nie jest najlepszą praktyką w zarządzaniu pocztą elektroniczną w przedsiębiorstwie. Nie można też było znaleźć metody powiadomienia systemu o konieczności skanowania całego ruchu na wszystkich portach. FortiGate to jeden z nielicznych produktów, który może być użyty do skanowania antywirusowego w przedsiębiorstwie - pamiętając oczywiście, że nie może on skanować całego ruchu na wszystkich portach.
Producent: Juniper Networks (www.juniper.net)
Zalety: Wysoki współczynnik przechwyceń i dobra wydajność IPS; dobre mechanizmy HA i routingu; poszerzalna kaseta.
Wady: Centralne zarządzanie nieodpowiednie dla zapór ogniowych z dużą liczbą portów.
Cena: 60 tys. USD za sprzęt, oprogramowanie i zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Szybkie zapory ogniowe Juniper ISG-1000 i 2000 nie zawierają funkcji antywirusa. Testowano urządzenie SSG-520 M, które te funkcje ma. Przy dość standardowym skonfigurowaniu polityk obejmujących FTP, HTTP i protokoły pocztowe SMTP, POP i IMAP, urządzenie SSG-520 M przeoczyło dwa wirusy, które powinno przechwycić i - jak większość zapór UTM - nie przechwyciło żadnego na niestandardowym porcie. Przy włączonym skanowaniu antywirusowym wydajność urządzenia spadła do poziomu ok. 160 Mb/s.
Różnorodne implementacje Check Point Software zachowywały się różnie przy skanowaniu antywirusowym. Serwer IBM System x3650 zawiera nową technologię Check Point CoreXL, która pozwala oprogramowaniu tej firmy na korzystanie z zalet systemów wieloprocesorowych lub procesorów wielordzeniowych, ale nie zawiera skanowania antywirusowego ani też filtrowania URL.
Dla platform, które obsługują skanowanie antywirusowe (Check Point UTM-1 2050, Crossbeam Systems C25 i Nokia P290), poziom szczegółowości i kontroli systemu zarządzania Check Point jest zbyt mały. Ustawiona polityka antywirusowa dotyczy zawsze wszystkich bram zarządzanych w ramach tego samego SmartCenter. Może to być korzystne w sytuacji zarządzania setkami bram w oddziałach zamiejscowych, ponieważ zazwyczaj stosuje się tam takie same reguły polityki. Skanowanie antywirusowe obniża o 87% wydajność w testowanych bramach Check Point. Wobec takiego poziomu spadku wydajności, aż się prosi o większą precyzję konfigurowania niż tylko "jedna polityka dla wszystkich".
Platformy Check Point ze skanowaniem antywirusowym obsługują protokoły SMTP, POP3, FTP i HTTP. Jednak porty niestandardowe nie mogą być skanowane automatycznie. Na zaporach Check Point UTM- 2250 i Crossbeam C25 przepuszczone zostały trzy wirusy na portach standardowych i wszystkie na niestandardowych. Połączenie tego z bardzo dużym spowolnieniem (C25 do ok. 60 Mb/s) i wspomnianymi problemami z definiowaniem polityk prowadzi do wniosku, iż funkcje antywirusowe w zaporach Check Point powinny być raczej wyłączone.
Inny problem napotkano w Nokia IP290, które także wykorzystuje oprogramowanie Check Point VPN-1. Używając tych samych polityk, zablokowało ono trzy przepuszczone przez C25 i UTM-1 wirusy. Jednak zapora Nokii nie może przeprowadzać skanowania antywirusowego na portach wirtualnych LAN, co jest dość dziwnym ograniczeniem konfiguracyjnym.
SonicWall skanuje długą listę protokołów, obejmującą: HTTP, FTP, SMTP, POP, IMAP, CIFS. Jednak z dostarczonym do testów oprogramowaniem było coś nie tak. Pro 5060 przechwyciło jedynie 42% wirusów. Firma dostarczyła specjalne poprawki, które rozwiązały problem i SonicWall uzyskał najlepszy wynik testów - 85% przechwyceń. Wydajność skanowania antywirusowego osiągnęła poziom 210 Mb/s (prawie 600 Mb/s bez włączonego antywirusa).