Artykuły
Wielki test UTM dla przedsiębiorstw cz. 2
Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu "wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory. Tym razem opisujemy wyniki testowania funkcji VPN, antywirusowych, wysokiej dostępności i dynamicznego routingu oraz prezentujemy podsumowanie naszego wielkiego testu UTM klasy enterprise.
Czy duże przedsiębiorstwa potrzebują zapór UTM (Unified Threat Management) ze wszystkimi funkcjami ochrony brzegowej? W dużych sieciach lokalnych stosuje się najczęściej specjalizowane rozwiązania ochronne, a nie urządzenia typu "wszystko w jednym", popularne w małym i średnim biznesie. A jednak duże firmy i instytucje mogą skorzystać na zintegrowanych produktach. Wyniki testów potwierdziły, że dodanie kolejnych mechanizmów ochrony może znacząco wpływać na wydajność zapory. Tym razem opisujemy wyniki testowania funkcji VPN, antywirusowych, wysokiej dostępności i dynamicznego routingu oraz prezentujemy podsumowanie naszego wielkiego testu UTM klasy enterprise.
Funkcjonalność VPN - duże zróżnicowanie
ASG 425Chociaż VPN i zapora ogniowa od ponad siedmiu lat rezydują wspólnie w tej samej "skrzynce", testy obu typów VPN: site-to-site (lokalizacja - lokalizacja) i zdalnego dostępu pokazały znaczące różnice w jakości implementacji.
Zalety: W urządzeniu upakowano wiele narzędzi open source; łatwe ustawianie funkcji HA; zawiera SSL VPN dla zdalnego dostępu.
Wady: Zarządzanie jest kłopotliwe i rozczłonkowane; konfigurowanie IPS i alarmów jest słabe; błędy w funkcjach HA.
Cena: 20 tys. USD za sprzęt; 10,6 tys. za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HAVPN typu site-to-site są bardziej istotne w zaporach UTM dla przedsiębiorstw i dlatego w czasie testów szczególną uwagę zwrócono na możliwość łatwego utworzenia i zarządzania dużymi VPN. Trzech dostawców wyróżniających się w zakresie VPN klasy enterprise to: Check Point, Cisco i Juniper. Firmy te dostarczyły odpowiednie technologie VPN i centralne narzędzia zarządzania, ułatwiające budowanie sieci składającej się z setek węzłów działających w różnych technologiach.
Udostępnione wydanie Cisco Security Manager (CSM) prezentuje dojrzałą technologię zarządzania, spełniającą wszystkie potrzeby dużych VPN, chociaż nadal są tu obszary wymagające pewnej poprawy - np. reguły VPN i zapory ogniowej nie są jeszcze połączone, co nadmiernie komplikuje definiowanie polityk. Generalnie jednak wdrażanie dużych VPN z pomocą tych narzędzi jest procesem relatywnie łatwym.
Kroki w dobrym kierunku
UTM-1 2050Check Point i Juniper także mają wyróżniające się narzędzia do zarządzania i definiowania VPN dla dużych wdrożeń site-to-site. Narzędzia obu tych firm ułatwiają definiowanie złożonych architektur VPN, a wiele trudnych elementów takiego definiowania, związanych z manipulowaniem bardzo dużymi VPN - takich jak uwierzytelnianie tunelu z wykorzystaniem certyfikatów cyfrowych - jest do wykonania nie tylko w prosty sposób, ale także nienarażający bezpieczeństwa sieci.
Zalety: W pełni wyposażona zapora ogniowa i oprogramowanie zarządzania; elastyczne opcje HA; wyróżniające się VPN site-to-site i zdalnego dostępu.
Wady: System operacyjny Secure Platform ograniczony w funkcjonalności sieciowej i zarządzania klasy enterprise; konfigurowanie UTM generalnie słabe lub nadmiernie skomplikowane.
Cena: 31 tys. USD za sprzęt; 19,8 tys. USD za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HACisco i Juniper obrały właściwy kierunek, łącząc VPN site-to-site z dynamicznym routingiem w celu zmniejszenia złożoności zarządzania VPN przy szybko zmieniającej się topologii sieci.
SonicWall - kolejny dostawca, który wprowadził szereg innowacji do centralnego zarządzania - także wykonał duży krok w zakresie kontroli i zarządzania konfiguracją VPN. SonicWall Global Management System pozwala na przeciągnięcie grupy zapór do VPN i następnie automatycznie konfiguruje i wprowadza konfiguracje VPN do wszystkich urządzeń. Kiedy topologia sieci ulega zmianie i zapory są dodawane lub usuwane, Global Management System utrzymuje wszystkie elementy w stanie aktualnym, w pełni połączone.
WatchGuard, wcześniej innowator w ułatwianiu budowania oraz monitorowania VPN, dzisiaj już nie ma tak zaawansowanych rozwiązań. VPN site-to-site jest łatwa do skonfigurowania, jeżeli buduje się pojedynczy tunel pomiędzy zaporą WatchGuard Peak i urządzeniami WatchGuard dla oddziałów zamiejscowych z rodziny Edge. Jednak nie ma tu scentralizowanego zarządzania zaporami Peak, co praktycznie oznacza brak opcji budowania dużych VPN site-to-site. Tunele mogą być zestawiane pojedynczo.
FortiGate 3600AKolejnym rozczarowaniem jest system zarządzania IBM/ISS w postaci urządzenia Site Protector. System ten prezentuje możliwości zarządzania VPN sprzed dobrych kilku lat. Nie zapewnia centralnego zarządzania dużymi topologiami VPN i wymaga, aby VPN była definiowana z użyciem bardzo tradycyjnego modelu chronionych sieci i bram ochronnych - terminologia wywodząca się bezpośrednio ze standardów IPSec i wyraźnie nieprzystająca do prób połączenia polityk VPN i zapory ogniowej.
Zalety: Dobra wydajność z włączonym skanowaniem antywirusowym; dobry współczynnik przechwyceń wirusów; dobre upakowanie sprzętu.
Wady: Zaawansowane mechanizmy wymagają stosowania interfejsu wierszy komend; słaba dokumentacja, słabe IPS.
Cena: 122 tys. USD za sprzęt, oprogramowanie i zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HARozwiązania Astaro ASG 425a, Fortinet Fortigate 3600A i Secure Computing Sidewinder 2150D, pozbawione centralnego zarządzania, reprezentują bardzo wczesne możliwości VPN site-to-site. Secure Computing planuje wydanie nowych narzędzi centralnego zarządzania opartych na systemie uzyskanym w wyniku przejęcia firmy CyberGuard.
Powiązania zdalnego dostępu
Najlepszymi możliwościami zdalnego dostępu VPN jeszcze raz wykazały się rozwiązania Check Point i Cisco. Check Point uzyskała dobrą ocenę za połączenie łatwej konfiguracji z silnymi mechanizmami dodatkowymi. Proces ustawiania zdalnego dostępu VPN, jaki zapewnia Check Point, jest prosty i szybki w mniej skomplikowanych przypadkach dopuszczania zdalnych użytkowników do sieci chronionych przez zapory ogniowe Check Point. Jeśli jednak trzeba wyjść poza łatwe przypadki, to istnieje wystarczająco dobrze napisana dokumentacja, wspomagająca ustawianie elementów, takich jak: rozdzielone tunelowanie, rozdzielona implementacja DNS, połączenie VPN przez wiele zapór ogniowych i integracja NAC (Network Access Control).
Funkcjonalność VPN - duże zróżnicowanie
ASG 425Chociaż VPN i zapora ogniowa od ponad siedmiu lat rezydują wspólnie w tej samej "skrzynce", testy obu typów VPN: site-to-site (lokalizacja - lokalizacja) i zdalnego dostępu pokazały znaczące różnice w jakości implementacji.
ASG 425
Producent: Astaro (www.astaro.com)
Zalety: W urządzeniu upakowano wiele narzędzi open source; łatwe ustawianie funkcji HA; zawiera SSL VPN dla zdalnego dostępu.
Wady: Zarządzanie jest kłopotliwe i rozczłonkowane; konfigurowanie IPS i alarmów jest słabe; błędy w funkcjach HA.
Cena: 20 tys. USD za sprzęt; 10,6 tys. za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Udostępnione wydanie Cisco Security Manager (CSM) prezentuje dojrzałą technologię zarządzania, spełniającą wszystkie potrzeby dużych VPN, chociaż nadal są tu obszary wymagające pewnej poprawy - np. reguły VPN i zapory ogniowej nie są jeszcze połączone, co nadmiernie komplikuje definiowanie polityk. Generalnie jednak wdrażanie dużych VPN z pomocą tych narzędzi jest procesem relatywnie łatwym.
Kroki w dobrym kierunku
UTM-1 2050Check Point i Juniper także mają wyróżniające się narzędzia do zarządzania i definiowania VPN dla dużych wdrożeń site-to-site. Narzędzia obu tych firm ułatwiają definiowanie złożonych architektur VPN, a wiele trudnych elementów takiego definiowania, związanych z manipulowaniem bardzo dużymi VPN - takich jak uwierzytelnianie tunelu z wykorzystaniem certyfikatów cyfrowych - jest do wykonania nie tylko w prosty sposób, ale także nienarażający bezpieczeństwa sieci.
UTM-1 2050
Producent: Check Point Software (www.checkpoint.com)
Zalety: W pełni wyposażona zapora ogniowa i oprogramowanie zarządzania; elastyczne opcje HA; wyróżniające się VPN site-to-site i zdalnego dostępu.
Wady: System operacyjny Secure Platform ograniczony w funkcjonalności sieciowej i zarządzania klasy enterprise; konfigurowanie UTM generalnie słabe lub nadmiernie skomplikowane.
Cena: 31 tys. USD za sprzęt; 19,8 tys. USD za oprogramowanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
SonicWall - kolejny dostawca, który wprowadził szereg innowacji do centralnego zarządzania - także wykonał duży krok w zakresie kontroli i zarządzania konfiguracją VPN. SonicWall Global Management System pozwala na przeciągnięcie grupy zapór do VPN i następnie automatycznie konfiguruje i wprowadza konfiguracje VPN do wszystkich urządzeń. Kiedy topologia sieci ulega zmianie i zapory są dodawane lub usuwane, Global Management System utrzymuje wszystkie elementy w stanie aktualnym, w pełni połączone.
WatchGuard, wcześniej innowator w ułatwianiu budowania oraz monitorowania VPN, dzisiaj już nie ma tak zaawansowanych rozwiązań. VPN site-to-site jest łatwa do skonfigurowania, jeżeli buduje się pojedynczy tunel pomiędzy zaporą WatchGuard Peak i urządzeniami WatchGuard dla oddziałów zamiejscowych z rodziny Edge. Jednak nie ma tu scentralizowanego zarządzania zaporami Peak, co praktycznie oznacza brak opcji budowania dużych VPN site-to-site. Tunele mogą być zestawiane pojedynczo.
FortiGate 3600AKolejnym rozczarowaniem jest system zarządzania IBM/ISS w postaci urządzenia Site Protector. System ten prezentuje możliwości zarządzania VPN sprzed dobrych kilku lat. Nie zapewnia centralnego zarządzania dużymi topologiami VPN i wymaga, aby VPN była definiowana z użyciem bardzo tradycyjnego modelu chronionych sieci i bram ochronnych - terminologia wywodząca się bezpośrednio ze standardów IPSec i wyraźnie nieprzystająca do prób połączenia polityk VPN i zapory ogniowej.
FortiGate 3600A
Producent: Fortinet (www.fortinet.com)
Zalety: Dobra wydajność z włączonym skanowaniem antywirusowym; dobry współczynnik przechwyceń wirusów; dobre upakowanie sprzętu.
Wady: Zaawansowane mechanizmy wymagają stosowania interfejsu wierszy komend; słaba dokumentacja, słabe IPS.
Cena: 122 tys. USD za sprzęt, oprogramowanie i zarządzanie.
* Cena obejmuje dwie instancje sprzętowe, wymagane do testowania funkcji HA
Powiązania zdalnego dostępu
Najlepszymi możliwościami zdalnego dostępu VPN jeszcze raz wykazały się rozwiązania Check Point i Cisco. Check Point uzyskała dobrą ocenę za połączenie łatwej konfiguracji z silnymi mechanizmami dodatkowymi. Proces ustawiania zdalnego dostępu VPN, jaki zapewnia Check Point, jest prosty i szybki w mniej skomplikowanych przypadkach dopuszczania zdalnych użytkowników do sieci chronionych przez zapory ogniowe Check Point. Jeśli jednak trzeba wyjść poza łatwe przypadki, to istnieje wystarczająco dobrze napisana dokumentacja, wspomagająca ustawianie elementów, takich jak: rozdzielone tunelowanie, rozdzielona implementacja DNS, połączenie VPN przez wiele zapór ogniowych i integracja NAC (Network Access Control).
Komentarze (1)
Proszę wejść na stronę SonicWALL''''''''a i zobaczyć UTM. Prezentujecie sprzęt konkurencji za 50000USD a Sonic''''''''a za 20000USD. Proszę wziąć do testów NSA E7500 i testować sonicwall.com/img/sw_products_flash/index.html . Tak to jest jak komuś się nie chce i wychodzą takie "wypasione wiedzą" artykuły.
Polecane
Przełomowy rok... znowu
Lektura firmowych informacji prasowych i prognoz firm analitycznych nie pozostawia wątpliwości - każdego roku...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...