Wielki test UTM dla przedsiębiorstw cz. 2
- Józef Muszyński,
-
- Joel Snyder,
- 04.02.2008
Sidewinder 2150D z akceleratorem IPS
Producent: Secure Computing (www.securecomputing.com)
Zalety: Duża wydajność w trybie proxy, silny model bezpieczeństwa na poziomie aplikacyjnym.
Wady: Centralne zarządzanie niekompletne; integracja i możliwości UTM poniżej poziomu innych produktów.
Cena: 80,6 tys. USD za sprzęt i oprogramowanie; 6,9 tys. USD za zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Choć rozwiązanie to wygląda na szczególnie efektywne w zakresie wysokiej dostępności i skalowalności, należy pamiętać, że cały klaster nadal nie może być szybszy niż fizyczny interfejs Ethernet (1 Gb/s), który ten klaster zasila. Przy bazowej przepustowości większej niż 1 Gb/s na pojedynczym węźle w połowie testowanych konfiguracji, nie ma zbyt wielu modeli wdrażania typowych zapór ogniowych UTM, które mogłyby skorzystać efektywnie z tej możliwości.
W testach HA napotkano jedynie dwie osobliwości. Pierwszą znaleziono w Astaro ASG 425a. Po przeładowaniu jednego węzła w parze HA, drugi zdecydował, że będzie nadrzędnym i w ten sposób otrzymano dwie różne zapory ogniowe, każda pretendująca do reprezentowania klastra. Jest to sytuacja szczególnie niebezpieczna, ponieważ bez wglądu w status HA nie można wiedzieć, że systemy te pracują niezależnie na tym samym adresie IP - co potencjalnie prowadzi do niestabilności i gubienia zmian konfiguracyjnych wykonanych w tym dziwnym stanie.
Druga osobliwość dotyczy mechanizmu klastrowania Nokia IPSO, który był specyficznie powiązany z rozkładaniem obciążeń i translacją adresów (NAT). Podczas testów zaobserwowano wzrost przepustowości klastra rozdzielającego obciążenie, kiedy wyłączono jeden z węzłów. Testy wydajności przeprowadzano z wyłączonym mechanizmem NAT w celu skompensowania tego problemu.
Testy dynamicznego routingu
Pro 5060
Testowano możliwości routingu Open Shortest Path First (OSPF) urządzeń UTM w celu zasymulowania pewnego rodzaju wielowyjściowej sieci (dwie bramy internetowe), która może być dość powszechnym typem sieci w przedsiębiorstwach.
Producent: SonicWall (www.sonicwall.com)
Zalety: Bardzo dobre wsparcie antywirusowe i współczynnik przechwyceń wirusów; możliwość dokładnego ustawiania funkcji UTM.
Wady: Mechanizmy IPS słabe na poziomie ustawień oczekiwanych w przedsiębiorstwie.
Cena: 22 tys. USD za sprzęt i oprogramowanie; 2 tys. za zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Dwóch dostawców wyróżnia się w realizacji dynamicznego routingu: to Juniper w obu urządzeniach (ISG-1000 i SSG-520) oraz Nokia (IP290 z systemem operacyjnym IPSO i zaporą ogniową VPN-1 Check Point). Chociaż Juniper nie oferuje pełnego zestawu możliwości routingu, dostępnego w routerach klasy enterprise, mechanizm routingu ScreenOS, w połączeniu z wirtualnymi routerami zapory ogniowej i łatwym zarządzaniem konfiguracją, prawdopodobnie wykracza ponad to, co jest potrzebne w większości środowisk UTM. Podobnie platforma IPSO Nokii, która od dawna ma silną bazę routingu obsługującą klastrowanie i szeroki zakres protokołów.
Z uwagi na poszerzone mechanizmy dynamicznego routingu dostępne w Juniper i Nokia, do testów włączono sesje Border Gateway Protocol (BGP), zapewniając możliwość kontroli i propagacji tras pomiędzy OSPF i BGP.
Tak uznana potęga w zakresie routingu, jaką jest Cisco, odpadła w testach, ponieważ platforma ASA nie zawiera wszystkich możliwości kodu bazowego IOS. Chociaż Cisco umieściło EIGRP (firmowy, bardzo popularny algorytm dynamicznego routingu) w wersji 8. oprogramowania ASA, to pojawiło się ono już po przeprowadzeniu testów i testowane urządzenie ASA 5540 nie wykorzystywało w pełni możliwości Cisco w zakresie routingu.
Ocenę pozytywną można wydać dynamicznemu routingowi, jaki zawierają zapory Astaro, FortiGate, Secure Computing i SonicWall. Wszystkie mają mechanizm dynamicznego routingu łatwy do skonfigurowania. Przy konfiguracji Secure Computing Sidewinder konieczne jest porzucenie interfejsu graficznego i zdanie się na interfejs wierszy komend. Jednak obsługujący routing kod open source Quagga zachowuje się w sposób, który może być bardzo bliski zarządcom sieci obeznanym z IOS Cisco.