Urządzenia UTM w akcji

Fortinet FortiGate 400A

FortiGate 400A dostarczany jest z sześcioma interfejsami Ethernet 10/100 Mb i łączy sprawne zarządzanie regułami polityki z możliwościami routingu dostępnymi zazwyczaj w większych zestawach. Usługi UTM są kompletne, podobnie jak usługi VPN i dynamicznego routingu. Zdalne zarządzanie wykonywane jest za pośrednictwem konsoli FortiManager, ale lokalne rejestrowanie zdarzeń, chociaż dostępne, można by trochę ulepszyć. Wstępne ustawienia i konfigurowanie zabierają mniej niż pół godziny. IPS FortiGate powstrzymał również wszystkie ataki wygenerowane przez Core Impact.

FortiGate, najdroższa ze wszystkich skrzynek biorących udział w testach, wyróżnia się elastycznym i silnym motorem routingu. Każdy z sześciu istniejących interfejsów może być elementem różnych sieci IP z odmiennymi regułami polityki i ustawieniami RIP (wersja 1 i 2). FortiGate, jako jedyny wśród testowanych urządzeń, dopuszcza, aby każdy fizyczny interfejs miał własny serwer DHCP. Jedną z najbardziej interesujących cech jest możliwość rozdzielenia urządzenia na dwie wirtualne domeny. Ta cecha w istocie dzieli zaporę ogniową na dwa logiczne urządzenia. Fizyczne interfejsy i polityki są przydzielone do każdego z nich jako elementy specyficznej domeny.

Polityki dostępu zapory ogniowej w 400A dopuszczają wiele różnych sytuacji, nie będąc jednocześnie bardzo skomplikowanymi do zdefiniowania. Łatwo przydziela się adresy dla specyficznych usług i tworzy reguły polityki bezpieczeństwa dostosowane do każdego typu ruchu. Reguły polityki dostępu nie są stosowane automatycznie, jak w wypadku SonicWall Pro 2040, ale jest to łatwe do wykonania z interfejsu konsoli.

Urządzenie pracuje z IPSec VPN typu site-to-site, a także w połączeniach client-to-site PPTP i L2PT (Layer 2 Tunneling Protocol). Metody szyfrowania są różnorodne: od DES do AES256. Obsługa QoS należy do najlepszych, z możliwością ustalania priorytetów ruchu i manipulowania wartościami Diffserv.

Urządzenie zawiera wszystkie oczekiwane usługi ochronne i, w przeciwieństwie do rozwiązań Astaro oraz WatchGuard, pozwala na przydzielanie skanowania antywirusowego do ruchu innego niż SMTP. Specyficzne akcje są przydzielane do usług w Protection Profile. Profile takie mogą być dobraną mieszanką funkcji ochronnych, dopasowanych do specyficznego rodzaju ruchu. Można np. utworzyć profil używający jedynie antywirusa i IPS oraz zastosować go jako politykę ochronną dla ruchu FTP. Administrator może tworzyć wiele różnych profili, każdy według specyficznych potrzeb.

Usługa antywirusowa, chociaż jedna z lepszych, ma ograniczenia. Istnieje górny limit maksymalnego rozmiaru pliku, jaki może być skanowany w czasie przechodzenia przez FortiGate. Jeżeli plik przekracza 50 MB - górny limit dla testowanego modelu - administrator ma wybór: albo odmówić całkowicie transferu tego pliku, albo ignorując jego rozmiar, przepuścić go bez skanowania. Ograniczenie to stosowane jest we wszystkich formach ruchu.

Fortinet utrzymuje swoje sygnatury wirusów, IPS oraz filtry spamu i URL, a uaktualnienia mogą być planowane z częstotliwością co godzinę. Poza sygnaturami IPS używa metody wykrywania anomalii dla ochrony eksponowanych za jego pośrednictwem systemów. Administrator może tworzyć sygnatury dostosowane do potrzeb lub po prostu używać standardowej listy. Tak jak w przypadku wszystkich testowanych rozwiązań, Core Impact nie zdołał włamać się przez IPS Fortinet.

Raporty i usługi rejestracji zdarzeń są przeciętne. Istnieje pięć różnych logów, ale dla lepszych rezultatów administrator powinien wysyłać informacje do Syslog lub na serwer WebTrend. Do scentralizowanego zarządzania używana jest platforma FortiManager. Pozwala ona na bezpośrednie zdalne zarządzanie, jak również raportowanie i agregację logów.

Fortinet FortiGate 400A

Producent: Fortinet (http://www.fortinet.com )

Cena: 8495 USD za urządzenie i wszystkie licencjonowane usługi

Cechy: FortiGate 400A wyróżnia się bardzo dobrą wydajnością, jak również dobrze zaprojektowanymi zaporą ogniową i motorem reguł bezpieczeństwa, solidnymi mechanizmami VPN oraz elastycznymi możliwościami routingu. Mechanizmy UTM są także bardzo dobre, aczkolwiek skanowanie antywirusowe ograniczone jest do plików nieprzekraczających 50 MB. Logi i raportowanie powinny być ulepszone, a cena jest relatywnie wygórowana.

ServGate EdgeForce M30

Urządzenie ServGate EdgeForce M30 jest dostarczane z trzema interfejsami 10/100 Mb/s i dyskiem twardym 20 GB używanym do buforowania stron WWW, a także do usług ochronnych. Ustawianie i konfigurowanie jest proste. Proces ten, z domyślnymi regułami polityki dla ruchu wyjściowego, zabiera ok. pół godziny. Model M30 okazał się najtańszym z grupy testowanych urządzeń, a tworzenie reguł polityki oraz jego utrzymanie nie jest zbyt trudne.

M30 oparte jest na specjalizowanym sprzęcie. Jego sercem jest zapora ogniowa, zapewniająca dobrą ochronę podstawową. Tak jak Fortinet i WatchGuard, ServGate zapewnia routing dynamiczny (RIP v1 i v2) oraz statyczny, a także dynamiczny DNS. Dostępny jest QoS, ale nie tak kompletny jak w wypadku Fortinet. Natomiast obsługa VLAN ma być dostępna w kolejnym wydaniu ServGate OS.

Usługi VPN obejmują różne rodzaje site-to-site IPSec i PPTP, a także własnego klienta VPN obsługującego połączenia client-to-site. Administrator może wybierać pomiędzy szyfrowaniem 3DES i AES 256.

Utworzenie reguł polityki wejściowej dla chronionych zasobów wymaga zdefiniowania aliasów wirtualnych IP dla każdej usługi i następnie włączenia ich do odpowiedniej polityki odwzorowywania IP. Elementem tworzenia reguł polityki jest określenie, jaki filtr zawartości zastosować do ruchu wejściowego. Filtry zawartości oparte są na regułach IPS i dodatkowych usługach ochronnych, takich jak antywirus.

Podczas testu sprawdzano możliwość utworzenia filtra zawartości dla eksponowanych serwerów WWW, używając predefiniowanych reguł polityki IPS dla serwera webowego i następnie wybranie, jako dodatkowego, filtrowania antywirusowego. Administrator może używać standardowych reguł filtrowania IPS i zawartości lub utworzyć nowe, spełniające specyficzne potrzeby. Jedyną niedogodnością jest konieczność przechodzenia pomiędzy trzema różnymi obszarami na konsoli administratora w celu utworzenia i przydzielenia filtra zawartości.

Usługi bezpieczeństwa dostępne w modelu M30 składają się z mieszanki zarówno własnych, jak i uznanych na rynku rozwiązań. Do usług antyspamowych i antywirusowych ServGate używa motoru skanowania McAfee. Do filtrowania Weba - rozwiązania SurfControl. Wszystkie licencje związane z narzędziami dostawców trzecich są obsługiwane przez ServGate i włączone do ceny ogólnej. Ponieważ M30 zawiera twardy dysk, podejrzane pliki i wiadomości mogą być poddawane kwarantannie.

W przeciwieństwie do WatchGuard Firebox Core, EdgeForce M30 zapewnia skanowanie antywirusowe dla ruchu SMTP, HTTP, POP3 i FTP. M30 wykonał test antywirusowy, obsługując transmitowany plik o wielkości 160 MB i wyłapując w nim wirusy.

IPS zawarty w ServGate, który jest oparty na sygnaturach open source Snort, pozwala na dużą elastyczność przy tworzeniu filtrów zawartości. Lista reguł jest podzielona na kategorie: "exploit", "P2P" i "Web Attacks", które upraszczają tworzenie reguł IPS do filtrowania treści. Podczas wykonania testów penetracyjnych reguły IPS ServGate wyłapały i zapobiegły wszystkim nieautoryzowanym próbom dostępu.

Zdalne monitorowanie i raporty są wykonywane bardzo dobrze przez Global Manager. Zapewnia on platformę dla utrzymywania wszystkich aspektów M30 z centralnego centrum danych. Pojedynczy system Global Manager może obsługiwać do 200 urządzeń EdgeForte. Jeszcze większa skalowalność ma być dostępna w kolejnym wydaniu.

ServGate EdgeForce M30

Producent: ServGate Technologies (http://www.servgate.com )

Cena: 1095 USD za urządzenie i wszystkie licencjonowane usługi

Cechy: EdgeForce M30 jest jednym z lepszych testowanych urządzeń UTM. Pomimo niskiej ceny, nie pominięto w nim żadnego istotnego mechanizmu. Zarządzanie regułami polityki jest proste, usługi VPN solidne, a usługi UTM spisują się bez zarzutu. ServGate Global Manager doskonale sobie radzi ze zdalnym zarządzaniem, chociaż lokalne pliki logów mogą być trudne do sortowania.


TOP 200