UTM dla małej firmy – pojedynek urządzeń

Dostęp zdalny

Urządzenia typu UTM zapewniając zarządzanie bezpieczeństwem oraz dostępem do zasobów sieci oferują zwykle możliwość zestawienia bezpiecznych kanałów VPN. Dodatkowo producenci udostępniają dedykowane aplikacje wspomagające lokalną i zdalną pracę urządzeń końcowych bez względu czy są to komputery, czy urządzenia mobilne.

Wszystkie urządzenia bez problemu mogą zestawić tunele Site to Site czy Client to Site. Obsługują przy tym IPSec VPN oraz SSL VPN. Jednak w takim zestawieniu funkcjonalności na uwagę zasługuje z pewnością FortiWiFI 60D, który dzięki specjalnie zaprojektowanym procesorom FortiAsic potrafi sprzętowo akcelerować szyfrowany ruch VPN. W praktyce oznacza to, że urządzenie posiada bardzo dobrą wydajność obsługując połączenia tunelowane. Dodatkowo aplikacja FortiClient dostępna oprócz komputerów również dla najpopularniejszych platform mobilnych sprawia, że w połączeniu z urządzeniem FortiWIFI tworzy łatwo zarządzany i dobrze zabezpieczony system.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Dzięki nowym przepisom, walka z nadużyciami w komunikacji elektronicznej będzie łatwiejsza

Do realizacji połączeń VPN Check Point może wykorzystać standardową konfigurację połączenia VPN w systemie Windows. Można użyć również „Checkpoint VPN Client”, a przy dostępie przez SSL VPN z użyciem przeglądarki uruchamia się dodatek realizujący połączenie tunelowane – SSL Network Extender.

Firma Cyberoam do Swojego urządzenia również udostępnia dodatkowe oprogramowanie. Cyberoam IPSec VPN Client dostępny dla platformy Windows pozwala zestawić bezpieczne łącze do firmowego Intranetu wykorzystując lokalną bazę użytkowników, integrację z Active Directory lub serwer Radius.

Sieć bezprzewodowa

Każde z testowanych urządzeń wyposażone jest w moduł sieci bezprzewodowej, a kompaktowe wymiary sprawiają, że urządzenia można umieścić w każdym niemal miejscu, tak aby swoim zasięgiem obejmowała powierzchnię biurową.

Check Point zapewnia dostęp do sieci bezprzewodowej w standardzie 802.11b/g/n. Prosty kreator pozwala tworzyć wiele szyfrowanych wirtualnych sieci WIFI, w których ruch może być od siebie odseparowany. Ciekawą opcją jest HOTSPOT, która daje możliwość bezprzewodowego dostępu do Internetu, ale jednocześnie blokuje dostęp do zasobów sieci LAN. Dla użytkowników okazjonalnych możliwe jest także włączenie sieci dla gości, która przed uzyskaniem dostępu do Internetu informuje w jakiej sieci użytkownik się znajduje. Dostęp do zasobów lokalnych może być ustawiany na różnym poziomie poprzez wspomniane sieci wirtualne, które w ramach reguł dostępnych w konfiguracji WIFI oraz polityk zapory mogą skutecznie sterować akcesem do danych sieci LAN.

Dwuzakresowa (2,4GHz i 5GHz) sieć bezprzewodowa FortiWIFI 60D (802.11 a/b/g/n) również pozwala na bezpieczny, autoryzowany dostęp zarówno do Internetu jak i do zasobów lokalnych, a wszystko zgodnie ze standardem PCI DSS (PCI Data Security Standard). Sama konfiguracja nie sprawi żadnego problemu administratorom. Podobnie jak w przypadku urządzenia Check Point, tutaj także można utworzyć wiele „wirtualnych” sieci Wifi, które mogą być od siebie odseparowane, a ruchem można sterować przy pomocy reguł Firewalla. W przypadku FortiWIFI 60D istnieje również możliwość rozszerzenia konfiguracji sieci bezprzewodowej o dodatkowe 10 modułów FortiAP.

Cyberoam CR35wiNG udostępnia sieć bezprzewodową w dwóch zakresach w standardzie 802.11 a/b/g/n . Urządzenie jest w stanie obsłużyć do 8 wirtualnych, niezależnych sieci , które tak jak w przypadku urządzeń poprzedników, można uruchomić niezależnie od siebie separując ruch sieciowy miedzy nimi. Należy zaznaczyć, że w odróżnieniu od FortiWIFI i Check Point mamy tu do czynienia z technologią 3x3 MIMO wykorzystującą trzy strumienie danych w obie strony. Co jest ważne przy intensywnym wykorzystaniu pasma przez użytkowników z coraz większym arsenałem urządzeń (notebooki, tablety, smartfony).

Redundancja połączenia internetowego

Funkcje redundancji połączenia internetowego mogą się przydać nawet w przypadku małej firmy. Wszystkie z trzech testowanych urządzeń są w stanie obsłużyć więcej niż jedno łącze internetowe, w tym Wireless WAN, które zapewnią nieprzerwany, bezproblemowy dostęp do zasobów zewnętrznych.

Cyberoam CR35wiNG pozwala obsłużyć wiele łączy WAN z możliwością optymalizacji ruchu i minimalizacji obciążenia łączy. Cyberoam UTM obsługuje również technologie 3G, 4G/LTE i WiMAX, oferując zaawansowaną ochronę ciągłości pracy sieci. Pozwala to między innymi na automatyczne, awaryjne przełączanie z przewodowych do bezprzewodowych łączy WAN. Wykorzystanie połączeń bezprzewodowych umożliwia także wdrożenie wysokiego poziomu bezpieczeństwa w zdalnych lokalizacjach, które nie mogą mieć połączeń przewodowych. Niestety obsługę modemów USB da się włączyć jedynie przez konsolę tekstową CLI, co dla zwolenników przeglądarkowego panelu może okazać się kłopotliwe. Oprócz obsługi failover, możliwe jest również wykorzystanie balancingu opartego na Weighted Round Robin.

UTM dla małej firmy – pojedynek urządzeń

FortiWIFI 60D - IPS SENSOR - Definicje zagrożeń

FortiWIFI 60D obsługując wiele łączy WAN także może korzystać z modemów podłączanych do gniazda USB. Opcję obsługi modemów jak w przypadku CR35wiNG aktywuje się z poziomu CLI. Dopiero wtedy na odpowiedniej karcie okna przeglądarki pojawią się niezbędne opcje. Samo uruchomienie niezawodności połączenia z Internetem można wykonać skutecznie w kilku podstawowych krokach. Wysoka dostępność łącza ze światem obsługiwana jest przez wbudowaną funkcję Dead Gateway Detection, dzięki której przy braku dostępu do Internetu podstawowym łączem mechanizm HA przełącza ruch na drugie łącze. Przy wykorzystaniu wielu łącz można w również uruchomić Balancing ECMP (Equal-cost multi-path routing).

Najmniej problemów powinna sprawić konfiguracja redundancji dostępu do Internetu w urządzeniu firmy Check Point. W przypadku gdy korzystamy z kilku łączy internetowych (na przykład modem USB/PCI Express) wystarczy ustawić opcje ISP Redundancy , gdzie określamy priorytet łącza w obsłudze ruchu lub dla opcji równoważenia obciążenia sieciowego możemy ustalić wagi dla poszczególnych interfejsów.

Centralne zarządzanie

Minęły już czasy kiedy każdym urządzeniem trzeba była zarządzać przez osobny panel, co w przypadku oddziałów firm, które posiadały kilka identycznych urządzeń UTM, było dość kłopotliwe. Aktualnie dostawcy sprzętu oferują dodatkowe narzędzia wspomagające centralne zarządzanie pojedynczym urządzeniem lub całą grupą podobnego sprzętu.

Cyberoam Central Console oferuje elastyczność zarządzania sprzętem rozproszonym firmy Cyberoam. Dzięki wirtualnemu scentralizowanemu zarządzaniu można zadbać o wysoki poziom bezpieczeństwa w każdym elemencie sieci nawet dużego przedsiębiorstwa. Dodatkowo centralna konsola Cyberoam dostarcza raporty, dzienniki i alerty od wszystkich odległych urządzeń, którymi zarządza. Dzięki grupowaniu urządzeń (np. : po lokalizacji geograficznej czy wersji firmware) w elastyczny sposób można wprowadzać polityki przedsiębiorstwa w zakresie wszystkich urządzeń firmowych. Konsola jest dostępna do instalacji jako fizyczny appliance lub jako maszyna wirtualna.

Do centralnego zarządzania FortiWIFI 60D należy wykorzystać rozwiązanie FortiManager, który dostarcza narzędzia do efektywnego zarządzania rozbudowaną strukturą urządzeń Fortinet. Umożliwia ono centralne zarządzanie, dystrybucję polityk, konfiguracji i aktualizacji. Pozwala również na łatwe zarządzanie rozbudowanymi środowiskami VPN oraz integrację z urządzeniami FortiAnalyzer, dzięki czemu centralnie gromadzone są informacje o zdarzeniach na podstawie, których generowane są raporty. Natomiast dla Klientów korzystających z urządzeń Fortinet, którzy nie chcą wdrażać u siebie FortiManagera dostępna jest usługa hostowana FortiCloud, która spełnia podobne zadania jak FortiManager jednak bardziej ograniczone funkcjonalnie. Wspiera natomiast usługę Sandboxing, która pozwala na przesyłanie zainfekowanych plików do chmury i uruchamianie ich w izolowanym środowisku w celu tworzenia szczepionek.

UTM dla małej firmy – pojedynek urządzeń

Check Point 3D Monitoring - statystyki i zdarzenia

Checkpoint 600 Appliance także oferuje zarządzanie z poziomu chmury przez Check Point Cloud Management. Włączenie funkcjonalności od strony urządzenia sprowadza się jedynie do opcji włączenia i ustawienia kilku prostych parametrów. Centralne zarządzanie w modelu Cloud umożliwia kontrolę ustawień z zakresu bezpieczeństwa i aktualizację oprogramowania urządzenia. Dzięki centralizacji zarządzania możliwy jest również eksport logów urządzenia do chmury. Dzięki temu funkcja 3D Security Reports pozwala na analizę logów Check Pointa oraz wysyłanie raportów bezpieczeństwa na adresy zdefiniowane panelu użytkowników.

Licencjonowanie i ceny

Sugerowana cena FortiWIFI 60D to 1255 euro i zawiera roczną subskrypcję wszystkich usług oraz roczny suport techniczny. Przedłużenie funkcjonalności i serwisu na kolejne lata to koszt 399 euro. Gwarancja na urządzenie jest zawarta w cenie przedłużenia usług, więc ważna jest do momentu opłacania subskrypcji. Usługa FortiCloud w wersji podstawowej (ograniczenie miejsca i czasu na logi) jest bezpłatna (pełna – 285 euro/urządzenie)

Checkpoint 600 Appliancess w wersji 620 obecnie kosztuje 598 dolarów i sprzedawany jest bez modułu WIFI. Jego koszt to 99 dolarów. Natomiast licencje na funkcjonalności urządzenia, które jednak są podstawą działania to dodatkowe 99 dolarów. Najdroższa wersja 680, w pełnym pakiecie usług (WIFI oraz modem ADSL plus wszystkie funkcjonalności) to wydatek 1149 dolarów. Urządzenie jest objęte standardową roczną gwarancją, a za dodatkową opłatą można wykupić wsparcie na różnych poziomach dostępności (8x5 lub 24x7).

Urządzenie CR35wiNG w podstawowej funkcjonalności (firewall, wsparcie dla tuneli VPN, load balancing, link failover, logowanie i raportowanie) kosztuje 1140 dolarów. Wszystkie dodatkowe moduły (antywirus, antyspam, IPS) do tego wsparcie techniczne i gwarancja w subskrypcji na 1 rok (Complete Value Subscription) kosztują 787 dolarów. W tej cenie znajduje się również Web Application Firewall do ochrony maksymalnie 10 serwerów aplikacyjnych. Bez WAF cena spada do 530 dolarów.

UTM dla małej firmy – pojedynek urządzeń

Zestawienie podstawowych parametrów testowanych urządzeń.

Podsumowanie

Wszystkie urządzenia bez problemów spełnią swoją rolę w segmencie, dla którego są przeznaczone. Check Point 600 Appliance z pewnością wiedzie prym w łatwości wdrożenia z uwagi na bardzo proste i przejrzyste rozmieszczenie poszczególnych funkcji, a szczególnie jeśli chcemy posłużyć się jedynie zdefiniowanymi przez producenta poziomami ustawień. Najniższy model z serii czyli 620 doskonale nadaje się do małej firmy. Z kolei Cyberoam (CR35wiNG) oraz Fortinet (FortiWIFI 60D) jako modele o większych parametrach wydajnościowych oraz bardziej zaawansowane konfiguracyjnie w porównaniu do Check Pointa można polecić dla nieco większego biznesu. Niestety w ich przypadku mniej doświadczeni administratorzy mogą mieć problemy z samodzielną konfiguracją. Jednak przy odrobinie samozaparcia i wiedzy jest to jak najbardziej możliwe. Wśród testowanych urządzeń największą wydajnością charakteryzowało się FortiWIFI 60D,a to głownie dzięki akceleracji sprzętowej dla ruchu szyfrowanego, który jest podstawą bezpiecznej pracy sieci, a także możliwości utworzenia do 10 wirtualnych domen (wirtualnego wystąpienia urządzenia) w przypadku, gdy wymaga tego konfiguracja segmentów sieci. Jednak należy pamiętać, ze każde z urządzeń jest tylko jednym z modeli całej serii o zróżnicowanej funkcjonalności oraz parametrach technicznych. Dlatego każdy z pewnością znajdzie coś na miarę swojego biznesu.


TOP 200