Wielki test UTM dla przedsiębiorstw cz. 2
- Józef Muszyński,
- Joel Snyder,
- 04.02.2008
Najsłabszy routing dynamiczny ma Check Point Secure Platform (używana w Check Point UTM-1 2050 i Crossbeam C25), która zawiera silnik dynamicznego routingu firmy NextHop. Chociaż silnik ten pracuje sprawnie i jest bardzo zaawansowanym rozwiązaniem, dokumentacja Check Point, interfejs użytkownika i możliwości debugowania czynią ustawianie dynamicznego routingu zajęciem bardzo frustrującym. Ponadto Check Point zawiera dynamiczny routing jedynie w wersji Secure Platform Pro, która jest licencjonowana niezależnie. Jeżeli chce się używać dynamicznego routingu z zaporami ogniowymi Check Point, to wybierać należy raczej platformę Nokia IPSO, która zapewnia podobne możliwości, ale również bardzo dobry interfejs użytkownika i możliwości debugowania, obsługę klastrów - wszystko bez dodatkowych licencji.
Producent: WatchGuard Technologies (www.watchguard.com)
Zalety: Dobry projekt sprzętu; dobre możliwości monitorowania; szeroki zestaw mechanizmów UTM.
Wady: Słabe pokrycie antywirusowe; brak mechanizmów klasy przedsiębiorstwa, takich jak dynamiczny routing.
Cena: 15 tys. USD za sprzęt; 5,6 tys. USD za oprogramowanie i zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Ocena obsługi IPv6
Jeżeli istnieje już zapora ogniowa, która jest w pełni gotowa do obsługi IPv6, to jest to Nokia IP290 z systemem operacyjnym IPSO i oprogramowaniem Check Point VPN-1. Obsługa IPv6 zapewniana przez Nokię obejmuje interfejsy tej platformy, dynamiczny routing używający RIP nowej generacji (RIPng) i OSPFv3 oraz kilka typów tunelowania. Do tego dochodzi obsługa IPv6 w regułach zapory ogniowej Check Point - GUI SmartDefence IPS i SmartDashboard.
Crossbeam, IBM i firmowe UTM Check Pointa są oparte na Secure Platform CheckPoint, która ma ograniczoną obsługę IPv6, wymagającą znacznych ręcznych konfiguracji i dodatkowych licencji. Zwolennicy Check Pointa, którzy zechcą wykorzystywać IPv6, powinni raczej rozpoczynać od platformy Nokia IPSO.
Najbliższa jej co do możliwości IPv6 jest firma Juniper, która zawarła obsługę IPv6 w kolejnej wersji oprogramowania ScreenOS. Obsługa IPv6 jest tu trochę węższa niż w Nokii - oferuje jedynie RIPng do dynamicznego routingu. Sporą niedogodnością jest fakt, że obsługa IPv6 nie jest osiągalna z centralnego narzędzia zarządzania NetScreen Security Manager. Co więcej, konieczne jest wyłączenie IPv6 na bramie ochronnej, aby NetScreen Security Manager mógł właściwie zarządzać bramą. Oznacza to, że obsługa IPv6 w zaporach Juniper jest ograniczona praktycznie do lokalnego, konfiguracyjnego GUI przeglądarkowego lub sterowania z wierszy komend.
Zapory Cisco ASA5540 i Fortinet FortiGate zawierają obsługę IPv6, ale wyłącznie za pośrednictwem lokalnego interfejsu wierszy komend. Obsługa IPv6 w wypadku Cisco obejmuje nie tylko interfejsy z adresami IPv6 i reguły zapory IPv6, ale także inspekcję ruchu: FTP, HTTP, ICMP, SMTP, TCP i UDP odbywającego się w ramach IPv6. Jednocześnie Cisco nie zapewnia obsługi protokołów dynamicznego routingu w firmware ASA. Oprogramowanie Fortinet Fortigate oferuje obsługę IPv6 w zakresie podobnym do Cisco, także z konfigurowaniem ograniczonym do interfejsu wierszy komend.
Secure Computing Sidewinder, SonicWall SonicOS, WatchGuard Firebox X Peak, IBM/ISS Proventia MX5010 i Astaro ASG podczas testów nie obsługiwały IPv6.
Spojrzenie na sprzętową architekturę UTM
Najczęściej dostawcy zapór wykorzystują zalety niedrogich, wysoko wydajnych CPU Intela, przeznaczonych dla uniwersalnych jednostek przetwarzania. Większość adaptacji w tych urządzeniach jest ukierunkowana na zwiększenie gęstości upakowania portów i usunięciu elementów zbędnych, takich jak karty graficzne.
Zacznijmy od opcji zasilania. Crossbeam C25, FortiGate 3600A, IBM System x3650, IBM/ISS Proventia MX5010 i Secure Computing Sidewinder 2150D wykorzystują dwa źródła zasilania - jako opcję lub część bazowej konfiguracji. Chociaż dwa zasilacze czynią system mniej efektywnym w zużyciu energii, to jednak chronią przed najbardziej powszechnym przestojem: przypadkowym wyjęciem niewłaściwej wtyczki.
To samo dotyczy gniazd. W większości tych urządzeń, dostarczanych z co najmniej czterema portami Gigabit Ethernet oraz obsługą VLAN, gniazda rozszerzenia mogą wydać się przesadą, ale dają wiele możliwości. Na przykład Juniper SSG-520 M pozwala na wybór spośród 16 różnych kart rozszerzeń, obejmujących interfejsy WAN i DSL.
CrossBeam i Nokia oferują karty Ethernet "odporne na uszkodzenia", które przenoszą ruch nawet w wypadku całkowitego uszkodzenia systemu. Dla normalnej zapory ogniowej takie obejście nie jest potrzebne, ale może być użyteczne we wdrożeniach IPS, gdy mechanizmy zapory są drugorzędne lub po prostu obsługują tylko szczegółową inspekcję.
Jedynym systemem niespełniającym podstawowych oczekiwań testujących co do elastyczności sprzętu była IBM/ISS Proventia MX5010, która nie obsługuje VLAN.
Rywalizacja na rynku sprzętu zapór ogniowych zmusiła dostawców oferujących drogie, specjalizowane urządzenia, do wycofania się z tej drogi - szybkie serwery z CPU Intela i jądro open source Linux upraszczają dodawanie do systemów niezależnych pakietów programowych, takich jak antywirus czy filtrowanie WWW.