Protectiva Compliance Manager
Навигация
 

Сравнение UTM

Автор: Александр Новиков опубликовано: 17-09-2012 последнее изменение: 28-09-2012

Способны ли брандмауэры, наделенные функциями комплексного управления угрозами (UTM), защитить периметр корпоративной сети, а одновременно продемонстрировать высокие производительность и масштабируемость, значительный функционал...

Было протестировано 13 UTM-решений, корпоративного уровня и выпускаются 11 производителями аппаратных средств и 9 разработчиками ПО. В первую очередь, нас интересовала производительность. Способны ли эти продукты выполнять функции брандмауэров при гигабитных скоростях передачи трафика, поддерживать виртуальные ЛС, динамическую маршрутизацию и высокую доступность? Как сказывается на их быстродействии активизация функций предотвращения сетевых атак (IPS) и антивирусной защиты? Испытание проводилось по восьми категориям (управление, производительность, высокая доступность, средства IPS, антивирусная защита, поддержка IPv6 и др.).

Кратко о продуктах

Juniper ISG1000

Шлюз Juniper ISG1000 является полностью интегрированной системой для решения задач межсетевого экранирования, VPN-туннелирования и предотвращения вторжений. Его отличительными чертами являются поддержка мультигигабитных скоростей, модульная архитектура и широкие возможности для виртуализации. Пропускная способность шлюза для межсетевого экранирования составляет до 2 Гбит/с, а для дополнительной функции интегрированного обнаружения и предотвращения вторжений — до 1 Гбит/с. Базовая система для межсетевого экранирования/VPN-туннелирования оснащена четырьмя интерфейсами 10/100/1000 и двумя дополнительными модулями ввода/вывода для расширения интерфейса. Приобрести данный продукт можно тут.

IBM System x3650

Сервер IBM System x3650 – это надежная, проверенная технология в сочетании с гибкой, энергоэффективной конструкцией. Обеспечивая четырехъядерные вычисления на основе процессоров серии Intel® Xeon® 5500 с технологией QuickPath Interconnect (QPI), этот мощный сервер в форм-факторе 2U обеспечивает значительное увеличение производительности на ватт потребляемой энергии по сравнению с серверами предыдущего поколения благодаря интеграции компонентов с низким энергопотреблением для формирования энергосберегающего теплового профиля.

Check Point UTM-1 2050

Устройства Check Point UTM-1™ содержат все необходимое для обеспечения безопасности Вашей сети и обеспечивают наиболее комплексную и мощную защиту. Устройства представляют собой универсальные и не требующие сложной настройки решения. В каждое устройство встроено централизованное управление. Предложение Check Point по аппаратному устройству для заказчика включает обновления ПО, гарантию на аппаратное устройство и сервисное обслуживание.UTM-1 выпускаются с предустановленным комплексным и гибким программным решением. Все устройства UTM-1 могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Приобрести данный продукт можно тут.

Crossbeam C25

В C25 предназначен для небольших центров обработки данных и используется клиентов по всему миру в call center и другие VoIP-ориентированных средах, где скорости соединения и небольшой пакет производительности, являются критическими. В C25-самый расширяемый устройств и включает в себя опции для двух жестких дисков, два источника питания и двумя процессорами Xeon подсистемы доставки 6 Гбит / с производительность.

Check Point UTM-1 2050

Устройство Check Point UTM-1 2050 содержит все необходимое для обеспечения безопасности сети и обеспечивают наиболее комплексную и мощную защиту. Устройство представляет собой универсальное и не требующие сложной настройки решение. UTM-1 выпускаются с предустановленным комплексным и гибким программным решением. Устройство UTM-1 может включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Приобрести данный продукт можно тут.

Межсетевые экраны Check Point UTM пользуются большой популярностью у компаний разных отраслей благодаря легкости развертывания и управления. Устройства серии UTM для сети передачи данных представляют собой шлюзы безопасности, терминирующие на себя защищенные IPSec-туннели, а также обеспечивающие безопасный SSL-доступ пользователей. Развертывание решений проводилось в тестовой зоне и явилось образцом конфигурации данных решений для дальнейшей «промышленной» эксплуатации.

Cisco ASA 5540

Межсетевой экран Cisco ASA 5540 обеспечивает службы безопасности, высокую доступность активность/активность и подключение Gigabit Ethernet для корпоративных сетей среднего размера при помощи модульного высокопроизводительного решения. Имея 4 интерфейса Gigabit Ethernet и поддерживая до 100 виртуальных сетей, предприниматели могут легко устанавливать Cisco ASA 5540 нескольких зонах сети для повышения уровня безопасности. Межсетевой экран Cisco ASA 5540 не теряет своих преимуществ при росте требований к безопасности, обеспечивая защиту инвестиций и масштабируемость служб. Усовершенствованная безопасность уровня приложений и контекстная безопасность, обеспечиваемые межсетевым экраном Cisco ASA 5540 могут быть расширены путем установки высокопроизводительной системы предотвращения вторжений и возможностей блокирования сетевых червей.

Предприниматели могут расширить возможности SSL и IPsec VPN для поддержки большего количества дистанционных работников, удаленных объектов и бизнес партнеров. Можно увеличить количество пользователей SSL VPN до 2500 SSL VPN а каждом межсетевом экране ASA 5540 при помощи установки обновления лицензии SSL VPN; базовая платформа поддерживает до 5000 пользователей IPsec VPN. возможности VPN и отказоустойчивость могут быть увеличены для полного использования интегрированного стекирования Cisco ASA 5540 и возможностей балансировки нагрузки. Межсетевой экран Cisco ASA 5540 поддерживает до 10 комплексов в стеке, обеспечивая поддержку 25,000 SSL VPN пользователей SSL VPN или 50,000 пользователей IPsec VPN одним кластером. Для обеспечения бесперебойной работы и планирования ASA 5540 также может использовать преимущества лицензий Cisco VPN FLEX, которые дают администратору возможность своевременно реагировать и планировать очереди дистанционных пользователей на период до 2 месяцев.

Использование опциональной возможности контекстной безопасности межсетевого экрана Cisco ASA 5540 позволяет установить до 50 виртуальных межсетевых экранов для разобщенного контроля политик безопасности на высоком уровне, а также позволяет уменьшить затраты на управление и обслуживание.

SonicWall PRO 5060

Устройство SonicWall PRO 5060 - это высокопроизводительная (1000 Мбит/с) платформа сетевой безопасности, базирующаяся на 24-портовом коммутаторе L2, предназначенная для малого бизнеса и удаленных филиалов. Устройство PRO 1260 комбинирует технологии межсетевого экранирования с глубокой проверкой пакетов, VPN (25 межаппартаных и до 50 тоннелей с мобильными пользователями), антивирусный шлюз, предотвращение вторжений и фильтрацию Web-контента, обеспечения непрерывности бизнес процессов в сетях малого и среднего масштаба. PRO 5060 можно использоватьв сетях малого и среднего масштаба без дополнительных коммутаторов и концентраторов, что существенно снижает затраты на организацию локальной сети. Модернизация операционной системы на SonicOS Enhanced позволяет при помощи архитектуры PortShilder описывать каждый порт как отдельную зону сети. Есть возможность поддержки не только сервисов безопасности, но и определения индивидуальных прав доступа в сеть для каждого из 24-х интерфейсов коммутатора, организации отказоустойчивого резервирования WAN–соединений с двумя провайдерами сервисов интернет, способности переключаться в аварийных случаях на вторичный VPN шлюз, обеспечивая тем самым непрерывность работы сети. Дополнительно доступны модернизация сервисов предотвращения вторжения, форсированной антивирусной защиты, фильтрации контента и глобального управления. Приобрести данный продукт можно тут.

IBM Proventia MX5010

Многофункциональные устройства все-в-одном линейки IBM Proventia Network Multi-Function Security аккумулируют в себе набор технологий обеспечения информационной безопасности и включают следующие модули:

  • Межсетевой экран с контролем состояния соединений – позволяет контролировать информационные потоки сети на основе заранее заданной политики безопасности.
  • Шлюз VPN – позволяет объединять сети и филиалы в единую сеть защищенную от перехвата конфиденциальной информации, подключать своих мобильных сотрудников через защищенные соединения.
  • Система предотвращения атак IBM Proventia Intrusion Prevention – модуль системы предотвращения атак Proventia IPS блокирует более 7400 уязвимостей. Анализ атак основанный на знаниях об уязвимостях позволяет защищаться как от известных так и от неизвестных разновидностей злонамеренного кода.
  • Сигнатурный и поведенческий антивирусы IBM Proventia Signature and Behavioral Anti-Virus— используя модули обнаружения известных и неизвестных вирусов устройство анализирует файлы с WEB сайтов и электронной почты (включая WEB почту), скачиваемые и получаемые по почте в реальном времени. Это обеспечивает безопасность рабочих станций в том случае, если их защита выключена или давно не обновлялась.
  • Фильтр WEB сайтов IBM Proventia Web Filtering— база данных фильтра содержит каталог более чем 95 миллионов WEB сайтов и постоянно поддерживается в актуальном состоянии обновляя информацию в среднем о 100 000 новых и обновленных WEB страниц ежедневно.
  • Антиспам IBM Proventia Anti-Spam— этот модуль использует совместно 10 методов обнаружения спама, что гарантирует низкий уровень ложных срабатываний, модуль имеет обновляемую каждые 4 часа базу спама, в которой ищутся сообщения и также проверяются URL из писем в базе WEB фильтра для предотвращения фишинга и других атак.

Watchguard Firebox Peak x8500e

XTM устройство «все-в-одном» содержит комплекс решений по сетевой безопасности, снижающее количество затрачиваемых ресурсов на управление несколькими устройствами одновременно. XTM предоставляет целостный подход к информационной безопасности на периметре сети. Используя Fire box X Peak , IT специалисты получают больше времени для администрирования других объектов в корпоративной сети, а компания в свою очередь снижает суммарную стоимость владения (TCO) и существенно экономит на поддержке.

Firebox X Peak e-Series обеспечивает высокий уровень безопасности, объединяя множество функций, таких как: межсетевой экран с запоминанием состояний, фильтрацию уровня приложений, VРN, защиту от атак Zero Day, шлюзовой антивирус, систему предотвращения вторжений, программы противодействия шпионскому ПО, антиспам и фильтрацию URL в одном устройстве. Использование таких решений позволяет экономить время и ресурсы, которые были бы потрачены на настройку и управление целым комплексом отдельных решений. Приобрести данный продукт можно тут.

Управление

Важность развитых средств управления для продуктов, используемых в корпоративных сетях, не требует доказательств. Именно в этой области кроются основные различия между тестировавшимися решениями.

Наличие функций UTM усложняет и без того непростую задачу администрирования брандмауэров. Скажем, компания Check Point, заявляющая о своих выдающихся средствах управления брандмауэрами, сконфузилась, когда дело дошло до администрирования дополнительных функций (например, контроля над исполнением политик VPN и NAT). Последнее обстоятельство дало шанс Cisco и Juniper. Приз за наиболее совершенные средства администрирования мы бы присудили Cisco. Ее приложение Cisco Security Manager (CSM) показывает, что корпорация, пусть и позднее конкурентов, научилась управлять корпоративными брандмауэрами и реализовала в продукте все обещания своих маркетологов.

На высоте оказались как общие средства управления политиками защиты, так и функции администрирования сетей VPN. Скажем, CSM позволяет определять политики в иерархической последовательности, а затем «привязывать» их к брандмауэрам на разных уровнях, что упрощает конфигурирование и повышать гибкость настройки отдельных устройств. Не обошлось и без изъянов. Например, многие функции не интегрированы в систему централизованного управления. CSM не выводит данные о производительности, ошибках и текущем состоянии брандмауэров: для каждого устройства запускается управляющая утилита. Даже не мечтайте об интеграции средств анализа IPS-событий с функцией управления политиками (для этого потребуется покупка дополнительного устройства) — такой тандем не работоспособен.

Juniper купила фирму NetScreen три года назад. С тех пор доставшийся ей инструмент администрирования брандмауэров NetScreen Security Manager (NSM) заметно «повзрослел». Сегодня это — единое приложение для управления брандмауэром и средствами IPS, мониторинга событий и генерации уведомлений при обработке трафика с применением всех политик NAT. Ограничения же обнаруживаются при попытке проучить инициаторов сетевой атаки либо описать политики сразу для нескольких зон защиты.

Компания SonicWall приложила немало усилий, чтобы вывести свои средства администрирования на уровень корпоративного продукта. Ее централизованный инструментарий управления удовлетворяет базовым требованиям, но основные улучшения коснулись управления устройством SonicWall Pro 5060. Налицо — сфокусированность на заказчиках из сегмента SMB, хотя многие усовершенствования придутся по душе и крупным предприятиям. Так, функция SSL Control позволяет инициировать исполнение SSL-политик, а для просмотра почтового, Web- и FTP-трафика можно использовать отдельный брандмауэр прикладного уровня.

Фирма WatchGuard Technologies также поработала над своими средствами управления, но ее деятельность еще далека от завершения. Для администрирования брандмауэра Firebox Peak нам пришлось запустить шесть приложений, зачастую — с совершенно непохожими интерфейсами. И только с четвертой попытки мы заставили продукт проверять наличие только тех вирусов, которые нас интересовали.

На другом полюсе оказалось вспомогательное управляющее устройство SiteProtector, которое относится к семейству ISS компании IBM и, кажется, в принципе не пригодно для использования в крупной корпоративной сети. Известное ранее как Multi-Function Security и разработанное фирмой Proventia для интеллектуальной защиты филиалов компаний от атак, после покупке Proventia корпорацией IBM оно так и осталось на прежнем уровне. Типичному филиалу достаточно двух зон защиты, парочки правил обеспечения безопасности и туннеля к головному офису. Эти возможности брандмауэр Proventia MX5010 поддерживает, но не более того. Средства описания политик просто ужасны, не говоря уже о том, что создатели SiteProtector применяют собственную терминологию (брандмауэры именуются «агентами» и т.п.).

Упомянем еще об использовании командной строки, которая сегодня кажется настоящим анахронизмом. Мы столкнулись с ней при работе с изделием Fortinet. Без нее FortiGate 3600A перестает быть UTM-решением для корпоративной сети, поскольку многие функции доступны только из командной строки.

Защита или производительность?

Каждая сеть требует своих метрик производительности, а любое UTM-решение имеет тысячи вариантов настройки, поэтому предсказать поведение конкретного продукта в вашей сети невозможно даже в общих чертах. Заказчикам остается лишь проявлять осторожность при активизации UTM-функций брандмауэров, установленных по периферии сети, поскольку их воздействие на общую производительность может оказаться полной неожиданностью. Мы попытались выяснить, насколько падает производительность брандмауэров при активизации дополнительных функций защиты.

При отключенных функциях восемь из 13 устройств обрабатывали данные со скоростью более 1 Гбит/с. В 36 из 56 тестов активизация UTM-функций привела к резкому снижению быстродействия — до 250 Мбит/с и даже менее. При работе средств IPS результат сильно зависел от выбранных сигнатур. Лучший показатель был у ISS Proventia MX5010 — функционирование средств IPS сказывалась на нем в наименьшей степени. Остальные продукты требовали аккуратной настройки и осмысленного выбора угроз, от которых следует защищаться.

Типичным примером может служить технология предотвращения атак Secure Defense компании Check Point, использованная Nokia в брандмауэре IP290. Ее активизация с сигнатурами, принятыми по умолчанию, снижала пропускную способность брандмауэра незначительно — с 1003 до 993 Мбит/с. Но стоило воспользоваться расширенным набором сигнатур, рекомендуемым самой Check Point для защиты серверов, как производительность упала на 85%. Продукт Cisco ASA5540 практически не снизил производительность после активизации функции проверки HTTP-трафика (640 Мбит/с вместо прежних 660 Мбит/с), но после дополнительного включения функции блокировки контента ActiveX быстродействие уменьшилось сразу на 80%.

Сканирование вирусов чаще всего вызывало аналогичный эффект. Счастливым исключением оказался брандмауэр FortiGate 3600A компании Fortinet.

Многие решения предлагают разнообразные средства защиты. Так, брандмауэр Sidewinder 2150D от Secure Computing может играть роль пакетного фильтра или proxy-сервера общего назначения. При этом модель безопасности будет отличаться от таковой для полноценного proxy-сервера прикладного уровня, который также поддерживается продуктом. В первом случае производительность превысила 1 Гбит/с, во втором немного не дотянула до этой планки. Да и в режиме полноценного proxy-сервера брандмауэр работал на скорости 826 Мбит/с, что совсем неплохо.

В IPS-тестах использовались два сценария: защита сервера (много потенциальных атак, но не надо сканировать весь трафик) и защита клиентов (проверка всего трафика при значительно меньшем числе типов атак). Безоговорочным лидером в обоих случаях оказался продукт ISS Proventia MX5010 с производительностью чуть ниже 1 Гбит/с. В серверных тестах за ним следовала другая разработка IBM — System x3650 с ПО компании Check Point (816 Мбит/с). В тесте на защиту клиентов в тройку лидеров попали FortiGate 3600A (624 Мбит/с) и Sidewinder (581 Мбит/с).

Конечно, если не очень заботиться о числе отражаемых сетевых атак и ложных срабатываниях, производительность брандмауэра с включенной функцией IPS можно удержать на приемлемом уровне. Однако мы начисляли баллы преимущественно за качество защиты, а не за быстродействие. Устройство, работавшее со скоростью 750 Мбит/с, но заблокировавшее только 10% атак, получило худшую оценку, чем брандмауэр, отразивший 50% атак, пусть ценой снижения производительности до 250 Мбит/с. После нормировки производительности с учетом разных сценариев тестирования функций IPS на серверах и клиентах лидером снова стал продукт MX5010, в три раза опередивший ближайшего конкурента — ISG-1000 фирмы Juniper. Неплохие результаты продемонстрировали решения Pro 5060 компании SonicWall, UTM-1 2050 от Check Point и SSG-520M производства Juniper.

В тестах на производительность при включенной антивирусной защите (в дополнение к функции IPS либо без нее) тройка лидеров была такой: FortiGate 3610A (524 Мбит/с), Sidewinder 2150D (396 Мбит/с) и снова ISS Proventia MX5010 (298 Мбит/с). Приведенные цифры вселяют некоторый оптимизм. Однако вслед за рядом производителей мы не рекомендуем использовать UTM-решения для защиты от вирусов.

Предотвращение атак

Устройства ISG-1000 фирмы Juniper и ASA5540 компании Cisco (с встроенным IPS-модулем SSM-20) являются совершенными инструментами предотвращения сетевых атак, способными удовлетворить самых взыскательных специалистов по информационной безопасности. Продукт Cisco в этой паре оказался чуть слабее из-за недостаточной связанности политик брандмауэра и IPS. Это мешает применению разных политик к различным потокам данных, а для средств IPS всякий раз может быть выбран только один набор правил. Недавно появившаяся функция «виртуальный сенсор» позволяет описать для виртуальных ЛС несколько политик, но они опять-таки не связаны с политикой для брандмауэра.

Весьма любопытным оказался продукт Proventia MX5010, который изначально создавался как средство IPS, а уже потом был наделен возможностями брандмауэра. Сегодня он представляет собой «черный ящик», IPS-функции которого не допускают настройки: они могут быть либо активизированы, либо отключены сразу для всех интерфейсов, типов трафика и временных периодов. Несмотря на это, в ходе тестирования MX5010 отразил сетевых атак больше, чем любое другое UTM-решение: 75% клиентских и 44% серверных атак при значениях параметров, принятых по умолчанию. И все же мы рискнем предположить, что полное отсутствие средств конфигурирования не придется по душе сетевым администраторам.

В предотвращении серверных атак не менее эффективен брандмауэр ISG-1000 фирмы Juniper, а вот в клиентском тесте его результат был хуже. В испытаниях с защитой серверов третье место завоевала ASG 425a — разработка Astaro Internet Security, а в тестах на защиту клиентов аналогичную позицию заняло решение WatchGuard. Неплохие результаты продемонстрировали также изделия Check Point, Secure Computing и SonicWall.

Для брандмауэра категории «все в одном» наличие разных политик для Web-серверов и Web-клиентов кажется само собой разумеющимся. Отдельные компании предусмотрели возможность назначения сигнатур сетевых атак отдельным адресам, но при наличии в сети сотен, а то и тысяч адресов трудоемкость их конфигурирования превосходит все мыслимые пределы.

Политика брандмауэра тесно связана с разными политиками предотвращения атак в двух продуктах Juniper (ISG-1000 и SSG-520M) и в устройстве Firebox фирмы WatchGuard. Так, при описании каждого правила политики брандмауэра ISG-1000 можно указать, стоит ли проверять соответствующий трафик средствами IPS и применять ли к нему разные наборы сигнатур. К сожалению, другие решения не настолько гибки.

Средства IPS в продуктах Fortinet FortiGate 3600A, SonicWall Pro 5060 и WatchGuard Firebox Peak X8500e не отличаются развитыми средствами конфигурирования, что устроит лишь представителей сектора SMB. Например, пользователь FortiGate 3600A может либо применить сигнатуру ко всей системе, либо дезактивировать ее, работа же с группами сигнатур не предусмотрена. Доступ к некоторым «продвинутым» возможностям IPS реализуется только через интерфейс командной строки. Несколько лучше обстоит дело в продукте WatchGuard: заранее определенные профили «сервер», «клиент» и «оба устройства» можно применить к каждому правилу.

IPS-технологии SmartDefense фирмы Check Point (доступна на любой платформе), Protocol Inspection компании Cisco (встроена в ASA 5540), Deep Inspection фирмы Juniper (используется в устройстве SSG-520M), а также прокси-технологии, реализованные в устройствах Firebox Peak X8550e производства WatchGuard и Sidewinder 2150D от Secure Computing, олицетворяют облегченный взгляд на предотвращение сетевых атак — сигнатуры не задействуются. Настройка их конфигурации не вызывает затруднений, предъявляются не столь жесткие требования к квалификации администратора. Но они распознают меньше атак и сценариев подозрительного поведения в сети, охватывают меньшее число альтернативных портов и протоколов.

Таблица 1 – Качество IPS

Производитель

Продукт

Настройки

Атаки на ПК, %

Атаки на сервер, %

Astaro

ASG 425a

Рекомендованные производителем

19

36

Check Point

UTM-1 2050

SecureDefense

27

32

Crossbeam

C25

SecureDefense

27

32

Fortinet

FortiGate 3600A

Только критичные сигнатуры

14

23

Все сигнатуры

41

24

IBM

x3650

SecureDefense

27

32

IBM

Proventia MX5010

Рекомендованные производителем

75

44

Juniper

ISG-1000

Deep Inspection, только критичные сигнатуры

42

46

Deep Inspection, все сигнатуры

87

70

Без дополнительной защиты

5

17

Juniper

SSG-520M

Deep Inspection, только критичные сигнатуры

19

24

Deep Inspection, все сигнатуры

21

25

Nokia

IP290

SecureDefense

27

32

Secure Computing

Sidewinder 2150D

C IPS

22

34

Только proxy

7

14

SonicWall

PRO 5060

Только критичные сигнатуры

22

19

Все сигнатуры

45

46

Watchguard

Firebox Peak X8500e

Только критичные сигнатуры

39

30

Все сигнатуры

40

31

Доступность и масштабируемость

В этой области продукты также сильно различались. Наивысшие оценки получили брандмауэры, восстанавливавшие работоспособность в течение 4 с после сбоя. Баллы снижались в том случае, если на возобновление передачи трафика требовалось более 1 мин.

Все производители, кроме SonicWall и WatchGuard, обеспечивают высокую доступность путем использования двух активных устройств с автоматическим выравниванием нагрузки между ними. Мы проводили испытания в конфигурации с одним активным и одним пассивным брандмауэрами, и резервной системе приходилось вступать в игру только после сбоя основного устройства.

Оказалось, что ПО фирмы Check Point, инсталлированное на аппаратных платформах Check Point UTM-1 2050, Crossbeam C25 и Nokia IP290, а также брандмауэры ISG-1000 и SSG-520M производства Juniper не блокируют передачу трафика даже при сбое. Секрет заключался в особенностях применения IP-адресов. Использованные перечисленными компаниями технологии отказоустойчивости предполагают присвоение отдельного IP-адреса каждому устройству. Кроме того, за каждой парой брандмауэров резервируется третий IP-адрес и виртуальный MAC-адрес. При сбое резервный узел наследует указанные IP- и MAC-адреса, так что за пределами кластера брандмауэров не требуются изменения конфигурации.

Куда более простое решение, основанное на единственном IP-адресе для каждого сегмента локальной сети, предложили Astaro, Fortinet, SonicWall и WatchGuard. Однако на восстановление трафика их брандмауэрам требовалось 8–72 с.

Таблица 2 – Восстановление работоспособности после сбоев

 

Компания

Продукт

Поддержка А/П*

Поддержка А/А*

Поддержка кластеризации

Время восстановления, сек

Astaro

ASG 425a

+

+

+

72 (А/П)

Check Point

UTM-12050

+

+

-

0 (А/А)

Cisco

ASA5540 с IPS SSM-20

+

+

-

72 (А/П)

Crossbeam

C25

+

+

-

0 (А/П)

Fortinet

Fortigate 3600A

+

+

-

64 (А/П)

IBM

Proventia MX5010

+

-

-

Н/т

IBM

System X3650

+

+

-

60 (А/П)

Juniper

SSG-520M

+

+

-

0 (А/П)

Juniper

ISG-1000

+

+

-

0 (А/П)

Nokia

IP290

+

+

+

0 (А/П)

Secure Computing

Sidewinder 2150D

+

+

-

68 (А/П)

SonicWall

Pro 5060

+

-

-

8 (А/П)

WatchGuard

Firebox Peak X8500e

+

-

-

16 (А/П)

Примечания.

А/П – поддерживается восстановление работоспособности в конфигурации «активный/пассивный»

А/А – то же в конфигурации «активный/активный».

Н/т – тест не проводился.

Динамическая маршрутизация

Эта функция UTM-брандмауэра придает дополнительную гибкость на стадии внедрения, полезна в расширяющейся сети, охватывающей несколько контуров защиты, и помогает собирать информацию о взаимосвязях между сетями в среде VPN. Правда, в последнем случае политика брандмауэра, правила формирования VPN и средства динамической маршрутизации должны быть тесно интегрированы. Нас же интересовала маршрутизация по протоколу OSPF, которая требуется в среде с несколькими выходами в глобальные сети.

Проще всего реализовать динамическую маршрутизацию на базе обоих продуктов Juniper и изделия IP290 фирмы Nokia, на котором функционируют ОС Nokia IPSO и приложение VPN-1 компании Check Point. Хотя Juniper в своих UTM-решениях не предлагает того же спектра средств маршрутизации, который доступен на ее устройствах операторского класса, функции маршрутизации в составе ScreenOS, дополненные виртуальными маршрутизаторами брандмауэра, с лихвой перекроют потребности большинства пользователей UTM-продуктов.

Аналогичное утверждение справедливо и в отношении разработки Nokia. Неплохие оценки в данной категории получили брандмауэры Astaro, Fortinet, Secure Computing и SonicWall, а в аутсайдерах оказались операционная система Secure Platform от Check Point и брандмауэр Firebox X8500e производства WatchGuard. Компания Check Point заимствовала весьма достойные средства динамической маршрутизации у NextHop, но качество документации, пользовательского интерфейса и средств отладки повергает в уныние. К тому же динамическая маршрутизация поддерживается только в версии Secure Platform Pro, которая предлагается за отдельную плату.

Наконец, нас совершенно не впечатлили результаты Cisco Systems. Основная причина — отсутствие в платформе ASA многих возможностей, реализованных в операционной среде IOS. Ситуация исправлена в версии 8 (она вышла уже после окончания испытаний): добавлена поддержка патентованного протокола маршрутизации EIGRP.

Антивирусная защита

Споры о том, нужно ли запускать на UTM-брандмауэрах антивирусное ПО, ведутся до сих пор. Одни считают, что в этом нет необходимости, ведь стандартные антивирусные приложения и средства сканирования электронной почты прекрасно справляются со своими задачами. Другие полагают, что защиты много не бывает и блокировать распространение вирусов следует везде, где возможно.

По результатам испытаний мы склонны поддержать первую точку зрения. И дело состоит не только в падении производительности UTM-устройств, но и в неудовлетворительном качестве самой антивирусной защиты. Возможно, причиной стала убежденность разработчиков в том, что антивирусный потенциал брандмауэров в основном будет востребован сектором SMB, а для крупного бизнеса он не так уж важен. Довольно быстро выяснилось, что серьезно к этой проблеме отнеслись далеко не все компании, а кое-кто ее и вовсе проигнорировал. Например, устройство ISG-1000 фирмы Juniper (в отличие от SSG-520M) не поддерживает антивирусную защиту, а Cisco в своем брандмауэре ASA5540 не предусмотрела средств управления такой защитой.

На другом конце спектра расположились Secure Computing и Fortinet. Устройство Sidewinder 2150D предоставляет администратору возможность детальной настройки параметров сканирования на наличие вирусов. Оно прекрасно «ловило» вирусы, использующие протоколы FTP, SMTP и HTTP, но не распознало ни одного вируса, посланного через нестандарный порт HTTP. Падение производительности при активизации антивирусной защиты составило 50%, что не так уж плохо.

FortiGate 3600A поддерживает еще больший набор протоколов, а к каждому правилу пропуска трафика можно приписать профиль сканирования вирусов. Продукт Fortinet распознал лишь 60% прошедших через него вирусов и не мог сканировать весь трафик одновременно на всех портах. Правда, из командной строки вызывается эвристический алгоритм сканирования вирусов, который поднимает эффективность их обнаружения до 100%. Мы считаем, что FortiGate — лучший из протестированных UTM-брандмауэров с точки зрения антивирусной защиты.

Брандмауэры ASG 425a фирмы Astaro и Proventia MX5010 производства IBM заблокировали подавляющую часть вирусов на стандартных портах и могут быть рекомендованы не только представителям SMB, но и крупным заказчикам. А вот наши надежды на WatchGuard Technologies не оправдались: обеспечив неплохую защиту электронной почты, Firebox Peak X8500e не распознал ни одного вируса в FTP-трафике, что снизило его общую эффективность до 45%.

Таблица 3 - Качество антивирусной защиты

 

Компания

Продукт

Доля выявленных вирусов, %

Astaro

ASG 425a

67

Check Point

UTM-12050

70

Crossbeam

C25

70

Fortinet

Fortigate 3600A

75

IBM

Proventia MX5010

60

Juniper

SSG-520M

72

Nokia

IP290

75

Secure Computing

Sidewinder 2150D

75

SonicWall

Pro 5060

85

WatchGuard

Firebox Peak X8500e

45

Из четырех платформ с ПО Check Point только сервер x3650 от IBM не поддерживал антивирусную защиту, а остальные (Check Point UTM-1 2050, Crossbeam Systems C25 и Nokia IP290) обеспечивали сканирование трафика протоколов SMTP, POP3, FTP и HTTP. Проверка потоков данных на нестандартных портах не осуществлялась и в этих случаях, к тому же нас сильно разочаровал уровень детализации и контроля над процессом сканирования трафика, реализуемый ПО Check Point. С учетом того, что при включении антивирусной защиты производительность Crossbeam C25 упала до 60 Мбит/с, про использование UTM-брандмауэров с ПО Check Point о защите от вирусов лучше забыть. К сожалению, с определенными оговорками это относится и к остальным UTM-решениям.

Таблица 5 - Протокол результатов тестирования

 

Категория

Приоритет

Juniper ISG-1000

IBM System x3650*

Nokia IP290*

Crossbeam C25*

Check Point UTM-1 2050*

Juniper SSG-520M

Cisco ASA5540

SonicWall Pro 5060

Secure Computing Sidewinder 2150D

IBM/ISS MX5010

WatchGuard Firebox Peak X8500e

Fortinet FortiGate 3600A

Astaro ASG 425a

Управление

20%

4.25

3.75

3.75

3.75

3.75

4.25

4

3.5

3.25

2

3.5

3

3

Производительность

15%

4.5

4.5

3

3

3

3.5

3.25

3.5

4.5

4.75

3

4

3

Средства IPS

15%

4.5

3.25

3.25

3.25

3.25

1.5

2.75

1.5

2.5

4.5

2.5

1

2

Поддержка VPN

15%

4

4.7

4.7

4.7

4.7

4

4.5

4

3

3

3.3

3.3

3.2

Высокая доступность

10%

5

5

4

5

5

5

3

4

3

3

4

3

2

Аппаратная архитектура

10%

4.5

5

4.5

5

4

4.75

4.5

4

5

4

4

5

4

Поддержка маршрутизации

5%

5

3

5

3

3

5

4

4

4

3

2.5

4

4

Поддержка IPv6

5%

3.5

3.5

4

3.5

3.5

3.5

3

2

2

2

2

3

2

Потребляемая мощность

5%

4

1

5

3

4

4

4

4.5

2

2.5

5

3.5

4

Возможность обнаружения вирусной активности

0%

NS

NS

3.1

3

3

3.8

NS

4.4

3.6

3.3

3.4

3.9

3.2

Итого

 


4.38

3.99

3.94

3.87

3.82

3.80

3.68

3.38

3.35

3.31

3.30

3.17

2.93

 NS = Не поддерживается
Оценки: 5: Исключительно; 4: Очень хорошо; 3: Средне; 2: Ниже среднего; 1: Не на должном уровне или Не доступен.

* Брандмауэр работает под управлением ПО фирмы Check Point

Таблица 6 - Конечные результаты тестирования

Вендор

Продукт

Стоимость*

Плюсы

Минусы

Итого

Astaro

ASG 425a

$30,600

 

Легкая и доступная установка;

Использование SSL VPN.

Запутанное и фрагментарное управление;

Слабые конфигурации IPS и служб оповещения;

Ошибки во время тестов на доступность.

2.93

Check Point Software

UTM-1 2050

$50,800

Полнофункциональный межсетевой экран и программное обеспечение;

Гибкость настройки;

Возможность использования site-to-site VPN.

Функции управления и обеспечения безопасности ограничены количеством клиентов; Слишком сложное конфигурирование UTM

3.82

Cisco

ASA5540 с SSM-20 IPS module

$53,500

Гибкие функции управления;

Гибкие сетевые настройки; Наличие нескольких барьеров предотвращения вторжений.

Отсутствие Cisco’вского качества у сетевых функций, таких как динамическая маршрутизация;

Некоторые функции управления неудобны;

IPS покрытие ниже, чем заявлено.

3.68

Crossbeam Systems

C25 с Check Point Secure Platform

$99,000

 

Высокая производительность в режиме межсетевого экрана;

Высокая плотность портов.

Secure Platform limited for enterprise deployments;

Плохая пропускная способность антивируса.

3.87

Fortinet

FortiGate 3600A

$122,000

Высокая производительность антивируса;

Хорошая комплектация оборудования

Настройка расширенных функций только через командную строку;

Плохая документация;

Слабый IPS.

3.17

IBM

System x3650 с Check Point Secure Platform

$69,200

Высокая производительность межсетевого экрана;

 Легкая установка.

Ограниченные возможности платформы

3.99

IBM/Internet Security Systems

Proventia MX5010

$60,000

Высокая производительность IPS

Слабые функции межсетевого экрана на уровне предприятия

3.3

Juniper Networks

ISG-1000

$60,000

Высокая производительность в режиме IPS;

Гибкий набор функций маршрутизации

Проблемы при централизованном управлении большим количеством портов устройства

4.38

Juniper Networks

SSG-520M

$24,600

Хорошая доступность и возможность маршрутизации; Простота управления.

Проблемы при централизованном управлении большим количеством портов устройства;

Слабое IPS в условиях предприятия

3.8

Nokia

IP290 с Nokia IPSO

$56,000

Операционная система располагает полнофункциональными корпоративными функциями, такими как маршрутизация, управление, IPv6

Сложная настройка комплекса;

Недостатки NAT и антивируса

3.94

Secure Computing

Sidewinder 2150D с IPS

$87,500

Высокая производительность при поддержке прокси-серверов;

Сильная модель безопасности для критичных приложений

Невнушительные функции централизованного управления,

Возможности UTM отстают от конкурентных решений

3.35

SonicWall

Pro 5060

$24,000

Хорошие антивирусные способности;

Большой набор UTM функций.

Слабая IPS в корпоративных условиях.

3.38

WatchGuard Technologies

Firebox Peak X8500e

$20,600

Сильные возможности мониторинга;

Большой набор UTM функций.

Слабые антивирусные способности;

Отсутствие динамической маршрутизации

3.30

 * Цена включают в себя стоимость устройства, ПО и средств управления

Итого

У большинства продуктов включение антивирусной защиты или функций предотвращения атак вызывает пугающие изменения производительности. К тому же сами эти функции во многих случаях реализованы далеко не идеально. Выдающиеся продукты можно пересчитать по пальцам одной руки, но даже их наличие не позволяет утверждать, что любое крупное предприятие может без опаски делать ставку на UTM-решения.

Хотя среди тестируемых продуктов было множество отличных корпоративных брандмауэров, дополнительные функции отражались на их производительности весьма негативно. Нам не удалось выявить безусловного победителя этого марафона, хотя лучше других действовали разработки Juniper Networks, Check Point Software и Cisco.

Comments (0)

Блог Александра Новикова
« Январь 2020 »
Январь
ПнВтСрЧтПтСбВс
12345
6789101112
13141516171819
20212223242526
2728293031
Последние записи
Blog Entry Газинформсервис
Blog Entry RSAM
Blog Entry CoreSecurity - Core Impact Pro v12.5
Blog Entry McAfee & Intel
Blog Entry Сравнение UTM
 
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex