UTM dla średnich firm

Antywirus, wykrywanie i zapobieganie wtargnięciom, wykrywanie i zapobieganie anomaliom (anormalne protokoły i przepływy) oraz filtrowanie zawartości - są dostępne za pośrednictwem interfejsu o nazwie Anti-X, przy czym sygnatury antywirusowe pochodzą z Kaspersky lub ZyXel AV.

W odróżnieniu od innych UTM, ZyXel nie obciąża za uaktualnienia antyspamowe. Pozostałe mechanizmy tego UTM można zakupić w pakiecie lub w zależności od potrzeb.

Tak jak w pozostałych testowanych UTM, funkcje AAA (Authentication, Authorization, Accounting) są wbudowane. W uzupełnieniu LDAP i RADIUS, dodatkowo wbudowane jest wsparcie Active Directory. ZyXel zapewnia również wewnętrzną pamięć dla certyfikatów PKI. W konfiguracjach wysokiej dostępności, dwa urządzenia ZyWall mogą być zestawione do współpracy w układzie obchodzenia uszkodzenia, co jest wymogiem w klasie urządzeń enterprise. Co ciekawe, ZyWall ma nawet agregację portów - mechanizm maksymalizujący przepustowość, którego brak nawet w większych urządzeniach, np. SonicWall E7500.

ZyWall USG1000 pod względem łatwości konfiguracji plasuje się za Astaro i SonicWall, i jest daleko za SonicWall i WatchGuard, jeżeli chodzi o przepustowość. Jest to dobry wybór dla oddziałów zamiejscowych - dużych lub małych. Chociaż cena może sugerować, że ZyWall jest dobrą opcją dla każdego małego biznesu, brak kreatorów ustawiania może być kłopotliwy dla mniej doświadczonych użytkowników.

Jak testowano

Podczas testów symulowano pracę sieci w organizacji z dwustoma oddziałami zamiejscowymi, połączonymi z centralą poprzez różnorodne usługi. Testowano jednocześnie wszystkie trzy główne funkcje zapory ogniowej: internetowe, bezpieczeństwo zdalnego dostępu i blokowanie malware. Najpierw, używając systemu Ixia IxLoad, uruchamiano mieszankę ruchu HTTP, FTP, POP i SMTP - przez trzy interfejsy zapory ogniowej:

• LAN - WAN do symulowania przeglądania witryn webowych przez pracowników;

• LAN - DMZ do symulowania uaktualniania i kwerendowania serwerów publicznych przez pracowników;

• WAN - DMZ do symulowania aktywności użytkowników zewnętrznych, współdziałających z publicznymi serwerami firmy, i pracowników mobilnych uzyskujących dostęp do poczty elektronicznej.

Po drugie, również wykorzystując IxLoad, uruchamiano mieszankę ruchu HTTP, FTP, POP i SMTP - przez każde z dwustu połączeń VPN, symulując pracę 10 użytkowników w każdym oddziale zamiejscowym, uzyskujących dostęp do serwerów intranetu na LAN. To pozwoliło obserwować, jak na ogólną przepustowość wpływają działania VPN.

Po trzecie, stosując Mu Dynamics Mu-4000 i moduł Published Vulnerability Attacks, testowano blokowanie przez UTM ataków malware. Były one wyprowadzane przez interfejs WAN, aby zasymulować ruch botów i innych zagrożeń wewnętrznych, a następnie z interfejsu LAN, by symulować zagrożenia pochodzące z laptopów podłączonych do sieci za zaporą ogniową. Narzędzie testujące Mu-4000 Analyzer ma możliwość generowania ataków, wykorzystując znane i opublikowane luki US-CERT.

Ustanawiając jako punkt odniesienia ruch poprzez wiele interfejsów zapory ogniowej, dodając do niego ruch z dwustu VPN i następnie kierując na UTM prawie 600 ataków, można było określić, jak strumień ataków wpływa na całkowitą przepustowość. A wpływ ten okazał się istotny. Najmniejszy w przypadku Astaro - ok. 2%, gdzie jednak ponad 400 z blisko 600 ataków nie zostało zablokowanych.

Do testowania przepustowości UTM użyto systemu IxLoad firmy Ixia Communications, generującego syntetyczny ruch WWW, FTP i poczty elektronicznej na różnych interfejsach. IxLoad ma też możliwość uruchamiania takich samych symulacji dla tuneli IPSec VPN.


TOP 200