Urządzenia UTM w akcji

SonicWall Pro 2040

SonicWall Pro 2040 dostarczany jest z czteroma interfejsami 10/100 Mb/s do połączeń sieciowych i mnóstwem opcji zapory ogniowej. Dzięki poręcznym kreatorom, instalacja i wstępna konfiguracja były najłatwiejsze wśród testowanych rozwiązań. Ustawianie zajmuje jedynie kilka minut, potrzebnych do przejścia w stan online i przejęcia ruchu. Zarządzanie regułami polityki jest relatywnie proste, też wspierane przez kreatory. Obsługa VLAN nie jest dostępna w tym wydaniu (ma pojawić się w następnym). Dynamiczny routing również nie jest obsługiwany - obsługa RIP i OSPF ma być dostępna w kolejnej wersji.

Możliwości VPN to IPSec site-to-site i client-to-site PPTP, a także obsługa własnego klienta VPN. Wybór metod kryptograficznych nie jest tak szeroki, jak w Astaro 220, ale z szyfrowaniem 3DES i AES256 nie powinno być problemu. Reguły polityki VPN są także tworzone z pomocą kreatora, który prowadzi administratora przez proces wstępnego definiowania tunelu.

Usługi bezpieczeństwa SonicWall są kombinacją produktów własnych i dostawców niezależnych. Sieciowy (strona kliencka) jest efektem współpracy z McAfee, podczas gdy bramowy antywirus (skanujący ruch TCP w czasie rzeczywistym) jest obsługiwany przez motor skanujący SonicWall. Skanowanie antyspyware wykorzystuje sygnatury projektowane we współpracy z nieujawnionym dostawcą niezależnym, a filtrowanie zawartości wykonywane jest przez system SonicWall lub w połączeniu z N2H2 bądź serwerem Websense.

Usługi bezpieczeństwa SonicWall są stosowane globalnie - nie ma możliwości przydzielania ich do poszczególnych rodzajów ruchu. Na przykład do kontroli ruchu wychodzącego można włączyć wszystkie usługi bezpieczeństwa, ale nie można zdefiniować specyficznej kombinacji usług dla specyficznego typu ruchu wychodzącego. ASG 220 i WatchGuard Firebox pozwalają na elastyczniejsze podejście w stosowaniu usług ochrony.

Jednak w kategorii ogólnej efektywności Pro 2040 jest jednym z dwóch urządzeń, które z powodzeniem wykonało skanowanie antywirusowe pliku o wielkości 160 MB, sprowadzane przez FTP.

Usługi IPS są zapewniane poprzez kombinacje sygnatur własnych i sygnatur Snort. Tak jak w IPS EdgeForce, sygnatury są grupowane w kategorie i administrator może włączyć lub wyłączyć poszczególne sygnatury. Podobnie jak pozostałe urządzenia, Pro 2040 poradził sobie ze wszystkimi testowymi atakami penetracyjnymi.

Do urządzenia dołączone są funkcje rejestrowania i raportowania, ale dla uzyskania bardziej szczegółowych informacji o użytkownikach i wzorcach ruchu administrator powinien używać pakietu SonicWall ViewPoint, dostępnego za dodatkową opłatą. Zdalne monitorowanie i administrowanie wykonywane jest za pośrednictwem SonicWall Global Management system. Wymaga on stosowania bazy danych Microsoft SQL Server lub Oracle, która jednak nie jest dołączana.

SonicWall Pro 2040

Producent: SonicWall (http://www.sonicwall.com )

Cena: 2665 USD za urządzenie i wszystkie licencjonowane usługi

Cechy: SonicWall zapewnia najlepszą mieszankę mechanizmów i funkcjonalności wśród testowanych rozwiązań. Ustawienie i tworzenie reguł polityki jest proste i łatwe do wykonania. Usługi UTM, chociaż nie tak szczegółowe jak w innych urządzeniach, pracują ze wszystkimi typami ruchu w każdej sytuacji. Raportowanie jest jedynym słabym punktem i wymaga stosowania zewnętrznej aplikacji w celu osiągnięcia lepszych rezultatów.

WatchGuard Firebox X2500 Core

Firebox X2500 Core zawiera osiem interfejsów 10/100 Mb/s. Zapora ogniowa Firebox i proxy aplikacyjne tworzą solidne urządzenie ochronne. Narzędzia monitorowania i raportowania są jedne z najlepszych. Wstępne konfigurowanie zawiera trochę więcej czasu niż pozostałym, ale mniej niż godzinę.

Tak jak SonicWall Pro 2040, WatchGuard Firebox zawiera silne wsparcie zapory ogniowej. Poprzez kombinacje filtrowania pakietów i proxy aplikacyjnych, administrator może kroić reguły polityki bezpieczeństwa specyficzne na potrzeby danej sieci. Podczas definiowania typów polityki ważne jest jednak dobre rozumienie ruchu, jaki ma przechodzić przez Firebox oraz jakie usługi bezpieczeństwa powinny być stosowane dla niego.

Jeżeli dla ruchu zdefiniowano używanie filtrowania pakietów, to nie istnieje zabezpieczenie dla skanowania ruchu pod kątem wirusów czy innej podejrzanej zawartości. Jedynym sposobem analizy takiego ruchu jest przepuszczenie go przez proxy aplikacyjne. Firebox dostarczany jest z proxy dla HTTP, FTP, DNS, SMTP i rdzennego ruchu TCP, tak więc większość popularnego ruchu jest pokryta. Nie ma też ograniczeń, ile różnych definicji proxy można używać. Podczas testów utworzono wiele różnych reguł polityki HTTP, używając różnych proxy, każdy ze specyficznymi ustawieniami i regułami.

W Firebox nie wszystkie usługi UTM są dostępne dla wszystkich proxy. W niektórych przypadkach takie pominięcie ma sens - nie ma potrzeby inspekcji ruchu/SMTP dla zawartości webowej. Jednak w innych może to być problemem. Na przykład ruch FTP może być kontrolowany i chroniony przez IPS, ale wtedy nie ma udogodnienia skanowania plików FTP pod kątem wirusów. Skanowanie antywirusowe jest także niedostępne w proxy HTTP, aczkolwiek wykonuje ono kontrolę pod kątem szkodliwych programów. Proxy SMTP jest jedyne, gdzie można wykonać skanowanie antywirusowe.

Prewencja przed włamaniami jest obsługiwana przez proxy TCP. IPS pracował poprawnie podczas testów, zapobiegając atakom wyprowadzanym przez Core Impact na eksponowane serwery. IPS WatchGuard może blokować ruch z dowolnego adresu, który zidentyfikuje jako źródło ataku. Jest to interesujący mechanizm. Podczas testów penetracyjnych zmieniano adres IP na atakującym pececie, ponieważ Firebox uniemożliwiałby komunikację z nim.

Dynamiczny routing, najlepszy w grupie testowanych urządzeń, wykorzystuje RIP v1 i v2, ale także OSPF i BGP (Border Gateway Protocol). Usługi VPN są także rozbudowane: IPSec site-to-site i client-to-site PPTP, L2TP oraz własny mobilny klient VPN. QoS jest dostępna, ale nie tak rozbudowana, jak w Fortinet. Dynamiczny DNS nie jest obsługiwany.

WatchGuard wyróżnia się możliwościami raportowania i monitorowania oraz mieszanką narzędzi zapewniających bardzo dobry wgląd w kondycję urządzenia. Administrator musi spędzić trochę czasu podczas wstępnego definiowania reguł polityki i usług w Fireware Policy Manager. Do codziennego monitorowania służy Firebox System Manager. Dostępny jest także graficzny podgląd ruchu w czasie rzeczywistym zapewniany przez HostWatch.

WatchGuard Firebox X2500 Core

Producent: WatchGuard Technologies (http://www.watchguard.com )

Cena: 4990 USD za urządzenie i wszystkie licencjonowane usługi

Cechy: Firebox X2500 Core dostarczane jest z silnym motorem polityki opartym na filtrowaniu pakietów i proxy aplikacyjnych. Usługi IPS i UTM są szczegółowo konfigurowane i WatchGuard ma najlepsze możliwości monitorowania i raportowania. Minusy to brak możliwości przydziału skanowania antywirusowego do poszczególnych typów ruchu.

Podsumowanie

Każde z pięciu urządzeń wykonuje dobrze swoje zadania, chroniąc przed hakerami i zapewniając dobry poziom kontroli nad działalnością użytkowników. Przydałyby się jednak ulepszenia w zakresie obsługi antywirusowej. Wirusy mogą przenikać do sieci dzisiaj w prawie każdym protokole, tak więc zdolność skanowania pod tym kątem różnego typu ruchu jest nieodzowna.

Czasami trudno jest uszeregować grupę produktów, zwłaszcza kiedy dzielą je niewielkie różnice. Końcowe rezultaty sprowadzają się więc do tego, jak kompletne są usługi UTM w każdym urządzeniu.

ServGate EdgeForce M30 i SonicWall Pro 2040 wykazały się kompletnością we wszystkich testach, uzyskując najwyższa punktację. Oba urządzenia zademonstrowały doskonałą ochronę przed atakami i także możliwością stosowania usług UTM dla różnorodnych typów ruchu.

W sytuacjach, gdy potrzebne są dodatkowe interfejsy fizyczne, a ruch FTP nie jest priorytetem, dobrym wyborem może być Fortinet 400A. Jest on bogato wyposażony, jednak nie jest tani. WatchGuard Firebox Core dostarczany jest z pełnym zakresem usług, tak jak Astaro Secure Gateway, i jeżeli FTP nie jest codziennym elementem ruchu w sieci, mogą to być również dobre wybory.


TOP 200