1. Strona główna
  2. Wiadomości

Wielki test UTM dla przedsiębiorstw cz. 2

  • Józef Muszyński,
  • Joel Snyder,

Proventia MX5010

WachGuard, podobnie jak SonicWall, obejmuje wszystkie protokoły i jest jedynym dostawcą, który zapewnia przechwytywanie niestandardowych wirusów HTTP. Niestety, chociaż urządzenie WatchGuard przechwyciło większość wirusów wysłanych w przesyłkach pocztowych, to przeoczyło wszystkie wirusy wysłane w ruchu FTP, uzyskując całkowity wskaźnik przechwycenia 45%. Wpływ antywirusa na wydajność okazał się znaczny, ściągając wydajność do 200 Mb/s (z 1 Gb/s).

To dziwne zachowanie jest prawdopodobnie ubocznym efektem sposobu pracy Firebox Peak. Jako zapora ogniowa typu proxy Firebox stosuje antywirus do ruchu proxy, a obsługiwane są tylko trzy proxy: SMTP, HTTP i TCP. Ponieważ FTP wykorzystuje własne proxy, ruch ten nie jest objęty przez skanowanie antywirusowe.

Proventia MX5010

Producent: IBM/Internet Security Systems (www.iss.com)

Zalety: Wyróżniające się w obszarze wydajności i skuteczności funkcje IPS.

Wady: Bardzo słabe mechanizmy zapory ogniowej; centralne zarządzanie niedopasowane do zapór klasy enterprise.

Cena: 24 tys. USD za sprzęt; 12,5 tys. USD za oprogramowanie; 23,5 tys. USD za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA

Urządzenie zapewnia szeroki zakres kontroli dla skanowania antywirusowego. Zastrzeżenia mogą budzić jedynie wartości domyślne. Na przykład Firebox Peak domyślnie blokuje wszystkie pliki Java, zip i exe. Może to być bezpieczne dla MSP, ale administratorzy sieci w dużych przedsiębiorstwach prawdopodobnie będą musieli poświęcić wiele czasu na zmianę niektórych domyślnych ustawień konfiguracyjnych, zanim Firebox Peak spełni ich wymagania.

SSG-520 M

Dwa inne produkty, które mogą pochwalić się sukcesami w sektorze MSP oraz środowisku oddziałów zamiejscowych, zapewniające ochronę antywirusową, to Astaro Internet System ASG 425a i IBM Internet Security System Proventia MX5010. Blokują one większość wirusów na standardowych portach i przepuszczają wszystkie na niestandardowych.

Urządzenie Cisco ASA5540 ma pojedyncze gniazdo na dodatkowe wyposażenie, co oznacza, że można wybrać pomiędzy modułem antywirusa a IPS. Według zapewnień Cisco, klienci generalnie wybierają moduł IPS. Z tego powodu nie testowano mechanizmów antywirusowych na zaporze ASA5540. W podsumowaniu ogólnym podano punktację funkcji antywirusowych dla produktów z możliwościami skanowania antywirusowego, ale punktacji tej nie uwzględniono w całościowej ocenie produktów.

Testy wysokiej dostępności

SSG-520 M

Producent: Juniper Networks (www.juniper.net)

Zalety: Elastyczna kaseta; dobre mechanizmy HA i routingu; łatwe opcje zarządzania.

Wady: Centralne zarządzanie nieodpowiednie dla zapór ogniowych z dużą liczbą portów; słabe mechanizmy IPS na potrzeby przedsiębiorstwa.

Cena: 20 tys. USD za sprzęt i oprogramowanie; 4,6 tys. USD za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA

Wysoka dostępność (High Availability - HA) i mechanizmy skalowalności zapór ogniowych UTM to cechy, których poziom w testowanych produktach jest bardzo różny. Niektóre produkty odtwarzały swoje działanie po kilku sekundach, innym natomiast potrzebne były minuty.

Opcje sprzętowe UTM

Chociaż większość dostawców - z wyjątkiem SonicWall i WatchGuard - oferuje także HA typu aktywny/aktywny, w którym dwa urządzenia automatycznie rozkładają między siebie obciążenie, zdecydowano się testować układ aktywny/pasywny, w którym jedno z urządzeń jest gorącą rezerwą, podejmującą działanie w sytuacji, kiedy węzeł aktywny ulega uszkodzeniu.

Za takim podejściem przemawiało to, że jakiekolwiek korzyści uzyskiwane z konfiguracji aktywny/aktywny bledną w porównaniu z gwarancją, że gdy wydarzy się awaria, w układzie aktywny/pasywny nadal można utrzymać taką samą wydajność jak przed zdarzeniem. Ponieważ typowe zdarzenia HA to zazwyczaj uszkodzenia sprzętu, które skutkują wyłączeniem urządzenia na wiele godzin, utrzymanie tej samej wydajności jest bardzo ważne z punktu widzenia interesów przedsiębiorstwa.

IP290

Jedyny wyjątek od tej zasady zastosowano dla zapór Check Point, ponieważ oprogramowanie tej firmy pracowało na czterech platformach i można było w takim układzie zaobserwować różnice w tych odmiennych podejściach do HA. Na sprzęcie Check Point testowano firmowy układ aktywny/aktywny, a na sprzęcie Nokia testowano klastry Nokia IPSO.
IP290

Producent: Nokia (www.nokia.com)

Zalety: Bardzo dobry projekt sprzętu; system operacyjny IPSO bardzo dobrze przystosowany do mechanizmów klasy przedsiębiorstwa, takich jak routing, zarządzanie i IPv6.

Wady: Ograniczenia w NAT i obsłudze antywirusowej; konfigurowanie UTM słabe i skomplikowane.

Cena: 8 tys. USD za sprzęt; 42 tys. USD za oprogramowanie; 6 tys. USD za zarządzanie.

* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA

Testy wykazały, że mechanizmy HA oprogramowania Check Point na wszystkich platformach sprzętowych oraz produkty Juniper przywracają pracę praktycznie bez blokowania ruchu (w ciągu czterech sekund zdefiniowanych dla testów). Po wyłączeniu systemu sesje zostały podjęte przez zapory "obejściowe" obu dostawców. Dotyczy to Check Point UTM-1 2050, Crossbeam C25, Nokia IP290 oraz obu zapór Juniper - ISG-1000 i SSG-520 M.

Kluczem do tego sukcesu jest gotowość do "marnotrawstwa" adresów IP. W HA w wersji Check Point, o nazwie ClusterXL, klastrach Nokia IPSO i Juniper HA każde urządzenie ma własny adres IP, a para urządzeń trzeci adres IP, jak również dodatkowy (wirtualny) adres MAC. Kiedy pojawia się zdarzenie HA, redundantny węzeł przejmuje adresy HA (IP i MAC), zapewniając w ten sposób, że żaden węzeł poza klastrem nie musi się do tej sytuacji dostosowywać i ruch może nadal przepływać natychmiast po wykryciu zdarzenia - co zazwyczaj mieści się w wyznaczonych czterech sekundach.