NGFW zazwyczaj są wyposażone w narzędzia raportujące, które pokazują aktywność sieciową użytkowników i aplikacji. Wielu producentów wyposażyło panele administracyjne w widgety pokazujące, np. informacje o 20 użytkownikach najwięcej korzystających z aplikacji P2P czy 10 najczęściej używanych aplikacji we wskazanym okresie. Możliwe jest również generowanie bardziej szczegółowych raportów, uwzględniających nazwy użytkowników i aplikacji, jak również narzędzia pokazujące na bieżąco informacje o ruchu w sieci.

O ile NGFW zostały zaprojektowane od podstaw, o tyle produkty klasy UTM wyrosły z tradycyjnych zapór sieciowych w procesie obudowania ich dodatkowymi warstwami zabezpieczeń, jak IPS, antywirus, itd. Co więcej, obecnie niektórzy producenci UTM wbudowują w nie zapory następnej generacji. Przedstawiciele Palo Alto, wiodącego dostawcy Next-Generation Firewall wskazują, że dzięki zbudowaniu od podstaw tej klasy zabezpieczeń są one znacznie wydajniejsze niż urządzenia UTM, do których dobudowywano różne funkcje. Z drugiej strony Fortinet, główny dostawca UTM, argumentuje, że jego rozwiązania mają już możliwości NGFW, a samo pojęcie NGFW określają jako slogan marketingowy. Zdaniem przedstawicieli tego producenta NGFW to prostu firewall zapewniający możliwości będące jedynie podzbiorem funkcji zapory UTM.

Zobacz również:

• Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna

Zapory nowej generacji są coraz szybsze, a kompromis między szybkością działania i bezpieczeństwem zdecydowanie się zmniejsza, choć ciągle istnieje. Wykonując inspekcję na poziomie aplikacyjnym (cecha odróżniająca zapory nowej generacji od tradycyjnych), potrafią przenosić ruch z szybkością gigabitową. Jednak przy ruchu SSL, szybkość spada, a po włączeniu deszyfrowanie SSL - nawet dość istotnie.

SSL stanowi podwójny problem dla NGFW. Jeżeli ruch jest zaszyfrowany, to nie można wykonywać inspekcji na poziomie aplikacyjnym. Z kolei deszyfrowanie ruchu odbywa się kosztem wydajności. Wykonując deszyfrowanie SSL zapora działa jako proxy - przechwytuje zlecenia klienta i zastępuje certyfikat serwera swoim własnym. Ponieważ użytkownicy rzadko sprawdzają podmieniony certyfikat serwera, to myślą ze działają bezpośrednio z oryginalnym serwerem. W międzyczasie zapora deszyfruje i przeprowadza inspekcję zawartości ruchu. Z punktu widzenia architektury ważne jest pytanie: czy inspekcja ruchu odbywa się podczas „jednego przebiegu”, czy też wymagane jest wielokrotne przejrzenie tego samego strumienia ruchu? Inny problem to miejsce tej inspekcji. Dobrze, jeżeli jest ona prowadzona na poziomie zapory.

UTM kontra pojedyncze urządzenia

Z punktu widzenia menedżerów IT największą zaletą UTM jest uproszczenie czynności operacyjnych oraz zmniejszenie kosztów poprzez umieszczenie funkcji kilku urządzeń w jednym. Alternatywą dla UTM jest stosowanie wielu różnych urządzeń, z których każde realizuje jedną lub więcej funkcji. Na przykład, firma może mieć dedykowane urządzenia do filtrowania ruchu sieciowego, ochrony antyspamowej oraz wykrywania włamań i zapobiegania im. Każde urządzenie jest podłączone do sieci i oferuje część funkcjonalności urządzenia UTM. Pojawia się pytanie, jakimi kryteriami kierować się, aby wybrać między zintegrowanym rozwiązanie UTM a wdrożeniem urządzeń realizujących pojedyncze funkcje. Poniższe zestawienie wad i zalet UTM pomoże w dokonaniu wyboru.

Do zalet UTM można zaliczyć niższe koszty zakupu. Ogólnie rzecz biorąc zintegrowane rozwiązania kosztują mniej niż zakup wielu systemów dedykowanych. Niższe są również koszty utrzymania. Użytkownik kupuje bowiem tylko jedną umowę wsparcia dla wszystkich mechanizmów zabezpieczeń. Jedno urządzenie zajmuje mniej miejsca, co jest istotne, jeśli do dyspozycji administratorów jest niewiele miejsca na sprzęt sieciowy. Niższe jest również zużycie energii, ponieważ pracuje tylko jeden zasilacz i mniejsze są straty. Konfiguracja i instalacja są łatwiejsze, ponieważ wystarczy skonfigurować tylko jedno urządzenie. Mniej jest okablowania. Integracja zabezpieczeń w systemie UTM eliminuje również problemy z kompatybilnością.

Nie brakuje również wad. Zabezpieczenia w UTM są mniej wyspecjalizowane i zaawansowane. Takie urządzenie jest jak szwajcarski scyzoryk, zaprojektowany do wykonywania wielu zadań. Dlatego brakuje w nim niektórych bardziej specjalizowanych elementów, w które są wyposażone wyspecjalizowane narzędzia. Prawdopodobnie najważniejszym przykładem, gdzie dedykowane urządzenie może być lepsze, są mechanizmy antywirusowe i antyspamowe. UTM (a także NGFW) jest pojedynczym punktem awarii. Wadą każdego systemu zintegrowanego jest to, że kiedy dojdzie do awarii, całość przestaje działać. Dlatego urządzenia UTM są wyposażane w redundantne komponenty, a niektóre mogą pracować w konfiguracjach klastrowych.

Trzeba też pamiętać o ograniczeniach wydajnościowych. W urządzeniu UTM pojedynczy procesor realizuje wiele zadań na raz, może być przeciążony przy wzrostach ruchu w sieci lub podczas trwania kilku jednoczesnych ataków. Na taką ewentualność niektóre urządzenia mają wbudowany mechanizm wyłączający wybrane usługi w celu zachowania integralności urządzenia, ale odbywa się to kosztem obniżenia bezpieczeństwa. Zwykle można ten problem pokonać, kupując urządzenia o znacznie większej mocy obliczeniowej niż wydaje się, że jest potrzebna. To oczywiście oznacza dodatkowe koszty.

NGFW nie dla wszystkich

Next Generation Firewall nie spełni wymagań bezpieczeństwa w każdej firmie. Jeśli przedsiębiorstwo nie potrzebuje funkcji IPS czy firewalla aplikacyjnego, możliwe, że NGFW nie będzie najlepszym wyborem. Trzeba też uwzględnić czynniki ekonomiczne. Jeśli nie ma jakiś powodów wymagających używania tej klasy urządzeń, np. wymogów prawnych, koszty wdrożenia NGFW mogą nie znaleźć uzasadnienia. Natomiast dobrą okazją do wdrożenia NGFW jest wymiana zapór sieciowych w firmie. Zanim jednak zapadnie ostateczna decyzja, należy rozważyć kilka opcji.

Pierwszą jest wybór między NGFW a UTM. W małej organizacji zapora sieciowa nowej generacji może być przesadą, a system Unified Threat Management, który ma więcej funkcji bezpieczeństwa, ale jest to okupione mniejszą przepustowość, może być bardziej odpowiedni. Dlatego tej klasy urządzenia są lepiej dopasowane do potrzeb mniejszych firm, gdzie korzysta się z łączy o mniejszych przepustowościach. Natomiast urządzenia NGFW łączące funkcje zapory sieciowej, VPN i IPS projektowano z myślą o uzyskaniu wysokiej przepustowości.

Rozwiązania NGFW to nie jedyna opcja, jeśli chodzi o wybór zapory sieciowej na najbliższe 2 do 5 lat. Nie można zapominać, że płacenie za dodatkową funkcjonalność, z której firma nie będzie korzystać, jest nieuzasadnione w sensie finansowym. Jeśli organizacja używa niewielką liczbę aplikacji, powinna dwa razy pomyśleć przed zakupem NGFW. Czy administratorzy tworzą złożone reguły oparte na tożsamości, które znajdą zastosowanie w NGFW? Czy ich przeniesienie do zapory sieciowej nowej generacji będzie lepszym rozwiązaniem?

Decyzja o wyborze NGFWW powinna wynikać z konieczności poddania aplikacji inspekcji oraz kontroli. Ten kierunek jest coraz częściej widoczny. Trzeba mieć możliwość przełożenia decyzji organizacyjnej na język technologii (dział płac ma dostęp do Skype, pracownicy IT mogą dodatkowo korzystać z protokołu FTP, a handlowcy mają zdalny dostęp do wybranych zasobów sieci lokalnej). Bez NGFW jest to trudne do wykonania zadanie i wymaga połączenia co najmniej kilku technologii, które niekoniecznie będą centralnie zarządzane.

Przyszłość

Eksperci z branży twierdzą, że NGFW i tradycyjne zapory będą używane zamiennie, zaś urządzenia UTM będą nadal stosowane powszechnie w małych i średnich firmach, które wolą prostotę wdrożenia rozwiązania zamiast zaawansowanych funkcjonalności. Obie grupy rozwiązań będą funkcjonować na rynku z uwagi na różne wymagania klientów dotyczące wydajności i łatwości obsługi.

Producenci będą nadal dodawać nowe funkcje i możliwości, aby zmniejszyć całkowity koszt posiadania zapór sieciowych. Na rynku mogą też zadebiutować zupełnie nowe urządzenia, zbudowane z myślą o specyficznych zastosowaniach w MŚP lub w korporacjach.

UTM i NGFW to zasadniczo podobne produkty, a różnice między nimi próbuje przejaskrawiać marketing. Urządzenia zunifikowane są w stanie zrobić wszystko to, co może zrobić NGFW, pod warunkiem, że zostaną prawidłowo skonfigurowane. Zamiast prób określenia różnic między UTM lub NGFW, celem użytkownika powinno być skupienie się na poszukiwaniu produktu, który najlepiej rozwiąże problemy z bezpieczeństwem w danej firmie. Nie należy też sztywno trzymać się podziału: UTM dla MŚP, a NGFW dla korporacji. Zamiast tego powinno się przeanalizować bieżącą sytuację i potrzeby, które powinny być podstawą dokonania wyboru.

Nie ma prostej odpowiedzi na pytanie, co jest lepsze: UTM czy NGFW? Ostatecznie celem jest poprawa bezpieczeństwa lokalnej sieci, co wymaga indywidualnego podejścia do każdego środowiska. Innymi słowy nie należy zbytnio przywiązywać wagi do terminologii NGFW czy UTM, lecz wybrać zaporę, która spełni wymagania sieci i zmieści się w zaplanowanych kosztach.

Jak widać, proces selekcji UTM lub NGFW nie jest prosty, a granice między tymi produktami są rozmyte. Podczas wyboru trzeba pamiętać o kilku ważnych cechach: (1) skupieniu się na swoim problemie, (2) określeniu wymaganego zestawu funkcji i usług, (3) dostępności w długim okresie wsparcia od dostawcy, (4) oszacowaniu całkowitych kosztów posiadania rozwiązania, (5) zgodności ze strategią IT, (6) uzasadnieniu dla inwestycji. Tak więc za każdym razem to dany przypadek biznesowy będzie determinował wybór.