Wielki test UTM dla przedsiębiorstw cz. 2

Taka konfiguracja kontrastuje z tą, jaka jest wymagana przez Astaro ASG 425a, Fortigate 3600A, SonicWall PRO 5060 i WatchGuard Firebox X8500e. Wszystkie te systemy są dużo łatwiejsze w ustawianiu konfiguracji HA i wymagają jedynie pojedynczego adresu IP dla każdego segmentu LAN. Jednak ta prostota kosztuje: podczas testów pojawienie się awarii powodowało brak przepływu danych w okresie od 8 do 72 s. W wielu zastosowaniach jedna minuta przestoju po uszkodzeniu sprzętu może być uważana za wystarczająco krótką przerwę, ale w testach założono, że dla uzyskania najwyższej punktacji system musi wykrywać incydent HA i podjąć działanie w czasie krótszym niż 4 s.

Dwa produkty - Nokia IP290 i Astaro ASG425a - oferują klastry wielowęzłowe, co jest potencjalnym rozwiązaniem problemu utraty pojedynczego węzła w środowisku wysokiej dostępności. Przy klastrach wielowęzłowych można praktykować dodawanie urządzeń do klastra, czyniąc system (w teorii) coraz bardziej niezawodnym i szybkim.

Choć rozwiązanie to wygląda na szczególnie efektywne w zakresie wysokiej dostępności i skalowalności, należy pamiętać, że cały klaster nadal nie może być szybszy niż fizyczny interfejs Ethernet (1 Gb/s), który ten klaster zasila. Przy bazowej przepustowości większej niż 1 Gb/s na pojedynczym węźle w połowie testowanych konfiguracji, nie ma zbyt wielu modeli wdrażania typowych zapór ogniowych UTM, które mogłyby skorzystać efektywnie z tej możliwości.

W testach HA napotkano jedynie dwie osobliwości. Pierwszą znaleziono w Astaro ASG 425a. Po przeładowaniu jednego węzła w parze HA, drugi zdecydował, że będzie nadrzędnym i w ten sposób otrzymano dwie różne zapory ogniowe, każda pretendująca do reprezentowania klastra. Jest to sytuacja szczególnie niebezpieczna, ponieważ bez wglądu w status HA nie można wiedzieć, że systemy te pracują niezależnie na tym samym adresie IP - co potencjalnie prowadzi do niestabilności i gubienia zmian konfiguracyjnych wykonanych w tym dziwnym stanie.

Druga osobliwość dotyczy mechanizmu klastrowania Nokia IPSO, który był specyficznie powiązany z rozkładaniem obciążeń i translacją adresów (NAT). Podczas testów zaobserwowano wzrost przepustowości klastra rozdzielającego obciążenie, kiedy wyłączono jeden z węzłów. Testy wydajności przeprowadzano z wyłączonym mechanizmem NAT w celu skompensowania tego problemu.

Testy dynamicznego routingu

Dynamiczny routing to ten rodzaj mechanizmu, jaki jest pożądany w każdej zaporze UTM - jako środek zapewniający elastyczność wdrożeń.

Testowano możliwości routingu Open Shortest Path First (OSPF) urządzeń UTM w celu zasymulowania pewnego rodzaju wielowyjściowej sieci (dwie bramy internetowe), która może być dość powszechnym typem sieci w przedsiębiorstwach.

Nie trzeba dodawać, że dynamiczny routing może być także użyteczny dla wewnętrznych, wielostrefowych zapór ogniowych, wdrażanych w sieciach rozwijających się w formie nowych podsieci, często rozproszonych geograficznie. Podobnie idealnym miejscem na wykorzystanie dynamicznego routingu są VPN-y. W miarę rozrastania się dużych VPN obciążenia związane z zarządzaniem listą sieci w każdym punkcie VPN mogą być bardzo duże. Dynamiczny routing połączony z VPN może pomóc w utrzymywaniu dostępności informacji o tym, które sieci są podłączone, bez wykonywania rekonfiguracji VPN, kiedy zmienia się sieć, na każdym, pojedynczym urządzeniu. Kiedy VPN-y są połączone z dynamicznym routingiem, wymagana jest ścisła integracja polityk zapór ogniowych, reguł VPN i dynamicznego routingu.

Dwóch dostawców wyróżnia się w realizacji dynamicznego routingu: to Juniper w obu urządzeniach (ISG-1000 i SSG-520) oraz Nokia (IP290 z systemem operacyjnym IPSO i zaporą ogniową VPN-1 Check Point). Chociaż Juniper nie oferuje pełnego zestawu możliwości routingu, dostępnego w routerach klasy enterprise, mechanizm routingu ScreenOS, w połączeniu z wirtualnymi routerami zapory ogniowej i łatwym zarządzaniem konfiguracją, prawdopodobnie wykracza ponad to, co jest potrzebne w większości środowisk UTM. Podobnie platforma IPSO Nokii, która od dawna ma silną bazę routingu obsługującą klastrowanie i szeroki zakres protokołów.

Z uwagi na poszerzone mechanizmy dynamicznego routingu dostępne w Juniper i Nokia, do testów włączono sesje Border Gateway Protocol (BGP), zapewniając możliwość kontroli i propagacji tras pomiędzy OSPF i BGP.

Tak uznana potęga w zakresie routingu, jaką jest Cisco, odpadła w testach, ponieważ platforma ASA nie zawiera wszystkich możliwości kodu bazowego IOS. Chociaż Cisco umieściło EIGRP (firmowy, bardzo popularny algorytm dynamicznego routingu) w wersji 8. oprogramowania ASA, to pojawiło się ono już po przeprowadzeniu testów i testowane urządzenie ASA 5540 nie wykorzystywało w pełni możliwości Cisco w zakresie routingu.

Ocenę pozytywną można wydać dynamicznemu routingowi, jaki zawierają zapory Astaro, FortiGate, Secure Computing i SonicWall. Wszystkie mają mechanizm dynamicznego routingu łatwy do skonfigurowania. Przy konfiguracji Secure Computing Sidewinder konieczne jest porzucenie interfejsu graficznego i zdanie się na interfejs wierszy komend. Jednak obsługujący routing kod open source Quagga zachowuje się w sposób, który może być bardzo bliski zarządcom sieci obeznanym z IOS Cisco.