Вопрос — не праздный: универсальные брандмауэры востребованы преимущественно средним и малым бизнесом, а крупные предприятия предпочитают приобретать сразу несколько средств защиты, каждое из которых является лучшим в своем классе.
Мы протестировали 13 UTM-решений, которые адресованы крупным корпоративным клиентам и выпускаются 11 производителями аппаратных средств и девятью разработчиками ПО. В первую очередь, нас интересовала производительность. Способны ли эти продукты выполнять функции брандмауэров при гигабитных скоростях передачи трафика, поддерживать виртуальные ЛС, динамическую маршрутизацию и высокую доступность? Как сказывается на их быстродействии активизация функций предотвращения сетевых атак (IPS) и антивирусной защиты? Испытание проводилось по восьми категориям (управление, производительность, высокая доступность, средства IPS, антивирусная защита, поддержка IPv6 и др.).
Хотя среди тестируемых продуктов было множество отличных корпоративных брандмауэров, дополнительные функции отражались на их производительности весьма негативно. Нам не удалось выявить безусловного победителя этого марафона, хотя лучше других действовали разработки Juniper Networks, Check Point Software и Cisco (табл. 1). В тестах на предотвращение атак лидером стало решение Internet Security Systems (ISS) корпорации IBM, а продукт Fortinet не имел равных в тестах на антивирусную защиту. Решения Check Point и Juniper заняли верхние строчки итогового рейтинга, поскольку программные продукты первой компании фигурировали в испытаниях четыре раза (они были инсталлированы на устройстве UTM-1 2050 того же производителя, на изделиях Crossbeam, IBM и Nokia), а второй — дважды (ISG-1000 и SSG-520M).
Управление
Важность развитых средств управления для продуктов, используемых в корпоративных сетях, не требует доказательств. Именно в этой области кроются основные различия между тестировавшимися решениями.
Наличие функций UTM усложняет и без того непростую задачу администрирования брандмауэров. Скажем, компания Check Point, заявляющая о своих выдающихся средствах управления брандмауэрами, сконфузилась, когда дело дошло до администрирования дополнительных функций (например, контроля над исполнением политик VPN и NAT). Последнее обстоятельство дало шанс Cisco и Juniper. Приз за наиболее совершенные средства администрирования мы бы присудили Cisco. Ее приложение Cisco Security Manager (CSM) показывает, что корпорация, пусть и позднее конкурентов, научилась управлять корпоративными брандмауэрами и реализовала в продукте все обещания своих маркетологов.
На высоте оказались как общие средства управления политиками защиты, так и функции администрирования сетей VPN. Скажем, CSM позволяет определять политики в иерархической последовательности, а затем «привязывать» их к брандмауэрам на разных уровнях, что упрощает конфигурирование и повышать гибкость настройки отдельных устройств. Не обошлось и без изъянов. Например, многие функции не интегрированы в систему централизованного управления. CSM не выводит данные о производительности, ошибках и текущем состоянии брандмауэров: для каждого устройства запускается управляющая утилита. Даже не мечтайте об интеграции средств анализа IPS-событий с функцией управления политиками (для этого потребуется покупка дополнительного устройства) — такой тандем не работоспособен.
Juniper купила фирму NetScreen три года назад. С тех пор доставшийся ей инструмент администрирования брандмауэров NetScreen Security Manager (NSM) заметно «повзрослел». Сегодня это — единое приложение для управления брандмауэром и средствами IPS, мониторинга событий и генерации уведомлений при обработке трафика с применением всех политик NAT. Ограничения же обнаруживаются при попытке проучить инициаторов сетевой атаки либо описать политики сразу для нескольких зон защиты.
Компания SonicWall приложила немало усилий, чтобы вывести свои средства администрирования на уровень корпоративного продукта. Ее централизованный инструментарий управления удовлетворяет базовым требованиям, но основные улучшения коснулись управления устройством SonicWall Pro 5060. Налицо — сфокусированность на заказчиках из сегмента SMB, хотя многие усовершенствования придутся по душе и крупным предприятиям. Так, функция SSL Control позволяет инициировать исполнение SSL-политик, а для просмотра почтового, Web- и FTP-трафика можно использовать отдельный брандмауэр прикладного уровня.
Фирма WatchGuard Technologies также поработала над своими средствами управления, но ее деятельность еще далека от завершения. Для администрирования брандмауэра Firebox Peak нам пришлось запустить шесть приложений, зачастую — с совершенно непохожими интерфейсами. И только с четвертой попытки мы заставили продукт проверять наличие только тех вирусов, которые нас интересовали.
На другом полюсе оказалось вспомогательное управляющее устройство SiteProtector, которое относится к семейству ISS компании IBM и, кажется, в принципе не пригодно для использования в крупной корпоративной сети. Известное ранее как Multi-Function Security и разработанное фирмой Proventia для интеллектуальной защиты филиалов компаний от атак, после покупке Proventia корпорацией IBM оно так и осталось на прежнем уровне. Типичному филиалу достаточно двух зон защиты, парочки правил обеспечения безопасности и туннеля к головному офису. Эти возможности брандмауэр Proventia MX5010 поддерживает, но не более того. Средства описания политик просто ужасны, не говоря уже о том, что создатели SiteProtector применяют собственную терминологию (брандмауэры именуются «агентами» и т.п.).
Упомянем еще об использовании командной строки, которая сегодня кажется настоящим анахронизмом. Мы столкнулись с ней при работе с изделием Fortinet. Без нее FortiGate 3600A перестает быть UTM-решением для корпоративной сети, поскольку многие функции доступны только из командной строки.
Защита или производительность?
Каждая сеть требует своих метрик производительности, а любое UTM-решение имеет тысячи вариантов настройки, поэтому предсказать поведение конкретного продукта в вашей сети невозможно даже в общих чертах. Заказчикам остается лишь проявлять осторожность при активизации UTM-функций брандмауэров, установленных по периферии сети, поскольку их воздействие на общую производительность может оказаться полной неожиданностью. Мы попытались выяснить, насколько падает производительность брандмауэров при активизации дополнительных функций защиты.
При отключенных функциях восемь из 13 устройств обрабатывали данные со скоростью более 1 Гбит/с. В 36 из 56 тестов активизация UTM-функций привела к резкому снижению быстродействия — до 250 Мбит/с и даже менее. При работе средств IPS результат сильно зависел от выбранных сигнатур. Лучший показатель был у ISS Proventia MX5010 — функционирование средств IPS сказывалась на нем в наименьшей степени. Остальные продукты требовали аккуратной настройки и осмысленного выбора угроз, от которых следует защищаться.
Типичным примером может служить технология предотвращения атак Secure Defense компании Check Point, использованная Nokia в брандмауэре IP290. Ее активизация с сигнатурами, принятыми по умолчанию, снижала пропускную способность брандмауэра незначительно — с 1003 до 993 Мбит/с. Но стоило воспользоваться расширенным набором сигнатур, рекомендуемым самой Check Point для защиты серверов, как производительность упала на 85%. Продукт Cisco ASA5540 практически не снизил производительность после активизации функции проверки HTTP-трафика (640 Мбит/с вместо прежних 660 Мбит/с), но после дополнительного включения функции блокировки контента ActiveX быстродействие уменьшилось сразу на 80%.
Сканирование вирусов чаще всего вызывало аналогичный эффект. Счастливым исключением оказался брандмауэр FortiGate 3600A компании Fortinet.
Многие решения предлагают разнообразные средства защиты. Так, брандмауэр Sidewinder 2150D от Secure Computing может играть роль пакетного фильтра или proxy-сервера общего назначения. При этом модель безопасности будет отличаться от таковой для полноценного proxy-сервера прикладного уровня, который также поддерживается продуктом. В первом случае производительность превысила 1 Гбит/с, во втором немного не дотянула до этой планки. Да и в режиме полноценного proxy-сервера брандмауэр работал на скорости 826 Мбит/с, что совсем неплохо.
В IPS-тестах использовались два сценария: защита сервера (много потенциальных атак, но не надо сканировать весь трафик) и защита клиентов (проверка всего трафика при значительно меньшем числе типов атак). Безоговорочным лидером в обоих случаях оказался продукт ISS Proventia MX5010 с производительностью чуть ниже 1 Гбит/с. В серверных тестах за ним следовала другая разработка IBM — System x3650 с ПО компании Check Point (816 Мбит/с). В тесте на защиту клиентов в тройку лидеров попали FortiGate 3600A (624 Мбит/с) и Sidewinder (581 Мбит/с).
Конечно, если не очень заботиться о числе отражаемых сетевых атак и ложных срабатываниях, производительность брандмауэра с включенной функцией IPS можно удержать на приемлемом уровне. Однако мы начисляли баллы преимущественно за качество защиты, а не за быстродействие. Устройство, работавшее со скоростью 750 Мбит/с, но заблокировавшее только 10% атак, получило худшую оценку, чем брандмауэр, отразивший 50% атак, пусть ценой снижения производительности до 250 Мбит/с. После нормировки производительности с учетом разных сценариев тестирования функций IPS на серверах и клиентах лидером снова стал продукт MX5010, в три раза опередивший ближайшего конкурента — ISG-1000 фирмы Juniper. Неплохие результаты продемонстрировали решения Pro 5060 компании SonicWall, UTM-1 2050 от Check Point и SSG-520M производства Juniper.
В тестах на производительность при включенной антивирусной защите (в дополнение к функции IPS либо без нее) тройка лидеров была такой: FortiGate 3610A (524 Мбит/с), Sidewinder 2150D (396 Мбит/с) и снова ISS Proventia MX5010 (298 Мбит/с). Приведенные цифры вселяют некоторый оптимизм. Однако вслед за рядом производителей мы не рекомендуем использовать UTM-решения для защиты от вирусов.
Предотвращение атак
Устройства ISG-1000 фирмы Juniper и ASA5540 компании Cisco (с встроенным IPS-модулем SSM-20) являются совершенными инструментами предотвращения сетевых атак, способными удовлетворить самых взыскательных специалистов по информационной безопасности. Продукт Cisco в этой паре оказался чуть слабее из-за недостаточной связанности политик брандмауэра и IPS. Это мешает применению разных политик к различным потокам данных, а для средств IPS всякий раз может быть выбран только один набор правил. Недавно появившаяся функция «виртуальный сенсор» позволяет описать для виртуальных ЛС несколько политик, но они опять-таки не связаны с политикой для брандмауэра.
Весьма любопытным оказался продукт Proventia MX5010, который изначально создавался как средство IPS, а уже потом был наделен возможностями брандмауэра. Сегодня он представляет собой «черный ящик», IPS-функции которого не допускают настройки: они могут быть либо активизированы, либо отключены сразу для всех интерфейсов, типов трафика и временных периодов. Несмотря на это, в ходе тестирования MX5010 отразил сетевых атак больше, чем любое другое UTM-решение: 75% клиентских и 44% серверных атак при значениях параметров, принятых по умолчанию. И все же мы рискнем предположить, что полное отсутствие средств конфигурирования не придется по душе сетевым администраторам.
В предотвращении серверных атак не менее эффективен брандмауэр ISG-1000 фирмы Juniper, а вот в клиентском тесте его результат был хуже. В испытаниях с защитой серверов третье место завоевала ASG 425a — разработка Astaro Internet Security, а в тестах на защиту клиентов аналогичную позицию заняло решение WatchGuard. Неплохие результаты продемонстрировали также изделия Check Point, Secure Computing и SonicWall.
Для брандмауэра категории «все в одном» наличие разных политик для Web-серверов и Web-клиентов кажется само собой разумеющимся. Отдельные компании предусмотрели возможность назначения сигнатур сетевых атак отдельным адресам, но при наличии в сети сотен, а то и тысяч адресов трудоемкость их конфигурирования превосходит все мыслимые пределы.
Политика брандмауэра тесно связана с разными политиками предотвращения атак в двух продуктах Juniper (ISG-1000 и SSG-520M) и в устройстве Firebox фирмы WatchGuard. Так, при описании каждого правила политики брандмауэра ISG-1000 можно указать, стоит ли проверять соответствующий трафик средствами IPS и применять ли к нему разные наборы сигнатур. К сожалению, другие решения не настолько гибки.
Средства IPS в продуктах Fortinet FortiGate 3600A, SonicWall Pro 5060 и WatchGuard Firebox Peak X8500e не отличаются развитыми средствами конфигурирования, что устроит лишь представителей сектора SMB. Например, пользователь FortiGate 3600A может либо применить сигнатуру ко всей системе, либо дезактивировать ее, работа же с группами сигнатур не предусмотрена. Доступ к некоторым «продвинутым» возможностям IPS реализуется только через интерфейс командной строки. Несколько лучше обстоит дело в продукте WatchGuard: заранее определенные профили «сервер», «клиент» и «оба устройства» можно применить к каждому правилу.
IPS-технологии SmartDefense фирмы Check Point (доступна на любой платформе), Protocol Inspection компании Cisco (встроена в ASA 5540), Deep Inspection фирмы Juniper (используется в устройстве SSG-520M), а также прокси-технологии, реализованные в устройствах Firebox Peak X8550e производства WatchGuard и Sidewinder 2150D от Secure Computing, олицетворяют облегченный взгляд на предотвращение сетевых атак — сигнатуры не задействуются. Настройка их конфигурации не вызывает затруднений, предъявляются не столь жесткие требования к квалификации администратора. Но они распознают меньше атак и сценариев подозрительного поведения в сети, охватывают меньшее число альтернативных портов и протоколов.
Доступность и масштабируемость
В этой области продукты также сильно различались. Наивысшие оценки получили брандмауэры, восстанавливавшие работоспособность в течение 4 с после сбоя. Баллы снижались в том случае, если на возобновление передачи трафика требовалось более 1 мин.
Все производители, кроме SonicWall и WatchGuard, обеспечивают высокую доступность путем использования двух активных устройств с автоматическим выравниванием нагрузки между ними. Мы проводили испытания в конфигурации с одним активным и одним пассивным брандмауэрами, и резервной системе приходилось вступать в игру только после сбоя основного устройства.
Оказалось, что ПО фирмы Check Point, инсталлированное на аппаратных платформах Check Point UTM-1 2050, Crossbeam C25 и Nokia IP290, а также брандмауэры ISG-1000 и SSG-520M производства Juniper не блокируют передачу трафика даже при сбое. Секрет заключался в особенностях применения IP-адресов. Использованные перечисленными компаниями технологии отказоустойчивости предполагают присвоение отдельного IP-адреса каждому устройству. Кроме того, за каждой парой брандмауэров резервируется третий IP-адрес и виртуальный MAC-адрес. При сбое резервный узел наследует указанные IP- и MAC-адреса, так что за пределами кластера брандмауэров не требуются изменения конфигурации.
Куда более простое решение, основанное на единственном IP-адресе для каждого сегмента локальной сети, предложили Astaro, Fortinet, SonicWall и WatchGuard. Однако на восстановление трафика их брандмауэрам требовалось 8–72 с (табл. 3).
Динамическая маршрутизация
Эта функция UTM-брандмауэра придает дополнительную гибкость на стадии внедрения, полезна в расширяющейся сети, охватывающей несколько контуров защиты, и помогает собирать информацию о взаимосвязях между сетями в среде VPN. Правда, в последнем случае политика брандмауэра, правила формирования VPN и средства динамической маршрутизации должны быть тесно интегрированы. Нас же интересовала маршрутизация по протоколу OSPF, которая требуется в среде с несколькими выходами в глобальные сети.
Проще всего реализовать динамическую маршрутизацию на базе обоих продуктов Juniper и изделия IP290 фирмы Nokia, на котором функционируют ОС Nokia IPSO и приложение VPN-1 компании Check Point. Хотя Juniper в своих UTM-решениях не предлагает того же спектра средств маршрутизации, который доступен на ее устройствах операторского класса, функции маршрутизации в составе ScreenOS, дополненные виртуальными маршрутизаторами брандмауэра, с лихвой перекроют потребности большинства пользователей UTM-продуктов.
Аналогичное утверждение справедливо и в отношении разработки Nokia. Неплохие оценки в данной категории получили брандмауэры Astaro, Fortinet, Secure Computing и SonicWall, а в аутсайдерах оказались операционная система Secure Platform от Check Point и брандмауэр Firebox X8500e производства WatchGuard. Компания Check Point заимствовала весьма достойные средства динамической маршрутизации у NextHop, но качество документации, пользовательского интерфейса и средств отладки повергает в уныние. К тому же динамическая маршрутизация поддерживается только в версии Secure Platform Pro, которая предлагается за отдельную плату.
Наконец, нас совершенно не впечатлили результаты Cisco Systems. Основная причина — отсутствие в платформе ASA многих возможностей, реализованных в операционной среде IOS. Ситуация исправлена в версии 8 (она вышла уже после окончания испытаний): добавлена поддержка патентованного протокола маршрутизации EIGRP.
Итого
Мы без колебаний присуждаем брандмауэрному компоненту UTM-решений знак качества, а вот дополнительные возможности — совсем другая история. У большинства продуктов включение антивирусной защиты или функций предотвращения атак вызывает пугающие изменения производительности. К тому же сами эти функции во многих случаях реализованы далеко не идеально (см. врезку). Выдающиеся продукты можно пересчитать по пальцам одной руки, но даже их наличие не позволяет утверждать, что любое крупное предприятие может без опаски делать ставку на UTM-решения.
Таблица 1. Результаты тестирования
Таблица 2. Качество антивирусной защиты
Таблица 3. Восстановление работоспособности после сбоев
Махнув рукой на вирусы
Споры о том, нужно ли запускать на UTM-брандмауэрах антивирусное ПО, ведутся до сих пор. Одни считают, что в этом нет необходимости, ведь стандартные антивирусные приложения и средства сканирования электронной почты прекрасно справляются со своими задачами. Другие полагают, что защиты много не бывает и блокировать распространение вирусов следует везде, где возможно.
По результатам испытаний мы склонны поддержать первую точку зрения. И дело состоит не только в падении производительности UTM-устройств, но и в неудовлетворительном качестве самой антивирусной защиты. Возможно, причиной стала убежденность разработчиков в том, что антивирусный потенциал брандмауэров в основном будет востребован сектором SMB, а для крупного бизнеса он не так уж важен. Довольно быстро выяснилось, что серьезно к этой проблеме отнеслись далеко не все компании, а кое-кто ее и вовсе проигнорировал. Например, устройство ISG-1000 фирмы Juniper (в отличие от SSG-520M) не поддерживает антивирусную защиту, а Cisco в своем брандмауэре ASA5540 не предусмотрела средств управления такой защитой.
На другом конце спектра расположились Secure Computing и Fortinet. Устройство Sidewinder 2150D предоставляет администратору возможность детальной настройки параметров сканирования на наличие вирусов. Оно прекрасно «ловило» вирусы, использующие протоколы FTP, SMTP и HTTP, но не распознало ни одного вируса, посланного через нестандарный порт HTTP. Падение производительности при активизации антивирусной защиты составило 50%, что не так уж плохо.
FortiGate 3600A поддерживает еще больший набор протоколов, а к каждому правилу пропуска трафика можно приписать профиль сканирования вирусов. Продукт Fortinet распознал лишь 60% прошедших через него вирусов и не мог сканировать весь трафик одновременно на всех портах. Правда, из командной строки вызывается эвристический алгоритм сканирования вирусов, который поднимает эффективность их обнаружения до 100%. Мы считаем, что FortiGate — лучший из протестированных UTM-брандмауэров с точки зрения антивирусной защиты.
Брандмауэры ASG 425a фирмы Astaro и Proventia MX5010 производства IBM заблокировали подавляющую часть вирусов на стандартных портах и могут быть рекомендованы не только представителям SMB, но и крупным заказчикам. А вот наши надежды на WatchGuard Technologies не оправдались: обеспечив неплохую защиту электронной почты, Firebox Peak X8500e не распознал ни одного вируса в FTP-трафике, что снизило его общую эффективность до 45% (табл. 2).
Из четырех платформ с ПО Check Point только сервер x3650 от IBM не поддерживал антивирусную защиту, а остальные (Check Point UTM-1 2050, Crossbeam Systems C25 и Nokia IP290) обеспечивали сканирование трафика протоколов SMTP, POP3, FTP и HTTP. Проверка потоков данных на нестандартных портах не осуществлялась и в этих случаях, к тому же нас сильно разочаровал уровень детализации и контроля над процессом сканирования трафика, реализуемый ПО Check Point. С учетом того, что при включении антивирусной защиты производительность Crossbeam C25 упала до 60 Мбит/с, про использование UTM-брандмауэров с ПО Check Point о защите от вирусов лучше забыть. К сожалению, с определенными оговорками это относится и к остальным UTM-решениям.