Wielki test UTM dla przedsiębiorstw cz. 2
- Józef Muszyński,
-
- Joel Snyder,
- 04.02.2008
Proventia MX5010
To dziwne zachowanie jest prawdopodobnie ubocznym efektem sposobu pracy Firebox Peak. Jako zapora ogniowa typu proxy Firebox stosuje antywirus do ruchu proxy, a obsługiwane są tylko trzy proxy: SMTP, HTTP i TCP. Ponieważ FTP wykorzystuje własne proxy, ruch ten nie jest objęty przez skanowanie antywirusowe.
Producent: IBM/Internet Security Systems (www.iss.com)
Zalety: Wyróżniające się w obszarze wydajności i skuteczności funkcje IPS.
Wady: Bardzo słabe mechanizmy zapory ogniowej; centralne zarządzanie niedopasowane do zapór klasy enterprise.
Cena: 24 tys. USD za sprzęt; 12,5 tys. USD za oprogramowanie; 23,5 tys. USD za zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
SSG-520 M
Urządzenie Cisco ASA5540 ma pojedyncze gniazdo na dodatkowe wyposażenie, co oznacza, że można wybrać pomiędzy modułem antywirusa a IPS. Według zapewnień Cisco, klienci generalnie wybierają moduł IPS. Z tego powodu nie testowano mechanizmów antywirusowych na zaporze ASA5540. W podsumowaniu ogólnym podano punktację funkcji antywirusowych dla produktów z możliwościami skanowania antywirusowego, ale punktacji tej nie uwzględniono w całościowej ocenie produktów.
Testy wysokiej dostępności
Producent: Juniper Networks (www.juniper.net)
Zalety: Elastyczna kaseta; dobre mechanizmy HA i routingu; łatwe opcje zarządzania.
Wady: Centralne zarządzanie nieodpowiednie dla zapór ogniowych z dużą liczbą portów; słabe mechanizmy IPS na potrzeby przedsiębiorstwa.
Cena: 20 tys. USD za sprzęt i oprogramowanie; 4,6 tys. USD za zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Opcje sprzętowe UTM
Za takim podejściem przemawiało to, że jakiekolwiek korzyści uzyskiwane z konfiguracji aktywny/aktywny bledną w porównaniu z gwarancją, że gdy wydarzy się awaria, w układzie aktywny/pasywny nadal można utrzymać taką samą wydajność jak przed zdarzeniem. Ponieważ typowe zdarzenia HA to zazwyczaj uszkodzenia sprzętu, które skutkują wyłączeniem urządzenia na wiele godzin, utrzymanie tej samej wydajności jest bardzo ważne z punktu widzenia interesów przedsiębiorstwa.
IP290
Producent: Nokia (www.nokia.com)
Zalety: Bardzo dobry projekt sprzętu; system operacyjny IPSO bardzo dobrze przystosowany do mechanizmów klasy przedsiębiorstwa, takich jak routing, zarządzanie i IPv6.
Wady: Ograniczenia w NAT i obsłudze antywirusowej; konfigurowanie UTM słabe i skomplikowane.
Cena: 8 tys. USD za sprzęt; 42 tys. USD za oprogramowanie; 6 tys. USD za zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Testy wykazały, że mechanizmy HA oprogramowania Check Point na wszystkich platformach sprzętowych oraz produkty Juniper przywracają pracę praktycznie bez blokowania ruchu (w ciągu czterech sekund zdefiniowanych dla testów). Po wyłączeniu systemu sesje zostały podjęte przez zapory "obejściowe" obu dostawców. Dotyczy to Check Point UTM-1 2050, Crossbeam C25, Nokia IP290 oraz obu zapór Juniper - ISG-1000 i SSG-520 M.
Kluczem do tego sukcesu jest gotowość do "marnotrawstwa" adresów IP. W HA w wersji Check Point, o nazwie ClusterXL, klastrach Nokia IPSO i Juniper HA każde urządzenie ma własny adres IP, a para urządzeń trzeci adres IP, jak również dodatkowy (wirtualny) adres MAC. Kiedy pojawia się zdarzenie HA, redundantny węzeł przejmuje adresy HA (IP i MAC), zapewniając w ten sposób, że żaden węzeł poza klastrem nie musi się do tej sytuacji dostosowywać i ruch może nadal przepływać natychmiast po wykryciu zdarzenia - co zazwyczaj mieści się w wyznaczonych czterech sekundach.