Výkonní univerzálové se širokým záběrem

Všestranné zabezpečení firemní sítě prostřednictvím sjednocené správy hrozeb UTM (Unified Threat Management) představuje zejména pro střední firmy ekonomickou a zároveň výkonnou alternativu. Hardware typu vše v jednom lze snadno instalovat a konfigurovat; jednoduché bývají i následná správa a administrace.

 

VÍT PETRJANOŠ (COMPUTERWORLD)

RECENZE Kernun UTM 150 – COMPUTERWORLD 5/2012 – Tisková verze (PDF)

Na rozdíl od softwarových řešení jsou zařízení pro UTM nabízena jako kompletní hardwarové řešení s výkonem a vybavením odpovídajícím všem (nebo téměř všem) potřebám firem z hlediska bezpečnosti výpočetního prostředí. Většina výrobců v současnosti do základní ceny zahrnuje firewall, ochranu před průniky IPS a virtuální privátní síť VPN, avšak další funkcionalitu pro sjednocenou správu hrozeb je potřeba dokoupit formou příslušné licence. Zpravidla jde o licence pro neomezený počet uživatelů, jejich konkrétní počty limituje dodávaný hardware. Podobně jako u softwarových bezpečnostních produktů je nutné počítat s tím, že licence se obvykle vždy po roce obnovují. Specifickým případem je zajištění vysoké dostupnosti – někteří výrobci dovolují provozovat dvě zařízení v redundantním režimu aktivní/pasivní bez nutnosti nákupu licencí pro obě řešení. Dá se tak ušetřit část nákladů.

 

Pestrá nabídka

Pro dnešní srovnání jsme vybrali třináct zařízení, která podle svých dodavatelů vyhoví jedinému kritériu – jsou vhodná pro české firmy s 50 až 500 uživateli. Z cenového i funkčního hlediska jde o velmi pestrou nabídku firem Barracuda, Cisco, Cyberoam, Fortinet, Check Point, Juniper, Kerio Technologies, TNS, McAfee, NetGear, SonicWALL, Sophos (dříve Astaro), WatchGuard a ZyXel. Většina modelů je navíc jen jedním zástupcem širšího portfolia jednotlivých výrobců, kteří nabízejí celou škálu produktů v různě výkonných variantách a pro firmy rozličných velikostí, od nejmenších až po velké podniky a rozsáhlé sítě. Je potěšitelné, že mezi nabízenými modely se neztrácejí ani zařízení od firem s českými kořeny.

 

Všechny modely až na výjimky disponují základními funkcemi – firewallem, VPN se SSL i IPSec, antivirovým, antispywarovým a antispamovým softwarem, nástroji IPS a IDS pro detekci a obranu před záškodnickými průniky, webovým a aplikačním filtrem a ochranou komunikace přes instantní messengery a P2P. Propustnost se u firewallu pohybuje v širokém rozpětí od 350 Mb/s po 3 Gb/s, podobně široké rozpětí najdeme i u propustnosti nástrojů pro IPS a u VPN. Každé zařízení je vybaveno minimálně čtyřmi síťovými porty, přičemž vždy alespoň dva jsou určeny pro gigabitový Ethernet. Přeborníkem v tomto směru je Kerio Control Box 3110, které v základním provedení nabízí hned osm gigabitových portů. Vůbec nejvíc (deset) portů najdeme u Fortinetu Fortigate 80C, osm z nich je ovšem určeno pouze pro Fast Ethernet.

 

Velká většina systémů je schopná pracovat v režimu vysoké dostupnosti; tam, kde tomu tak není, bývá možné přikoupit tuto volbu za příplatek. Naproti tomu u podpory 3G a Wimaxu přes USB port už nejsou údaje tak jednoznačné, i když alespoň jedním USB portem jsou vybaveny všechny modely. U zhruba poloviny bez ohledu na cenu modelů najdeme i možnost virtualizace jejich provozu. Naproti tomu vybavení nástroji pro forenzní analýzu nebo korelaci událostí se stavem sítě či činností uživatelů je spíše slabší. Ani tady cena nerozhoduje. Ceny uvedených softwarových licencí jsou spíše orientační a obvykle závisejí na konfiguraci UTM funkcí pro konkrétního zákazníka. U dražších systémů bývá software v ceně celého zařízení. Na některá řešení z doprovodné tabulky se podíváme podrobněji.

 

Kernun UTM 150

Srdcem zařízení vyráběného českou firmou Trusted Network Solutions v designu obvyklém pro racková provedení 1 U je procesor Intel Pentium s frekvencí 2,6 GHz, využívající 4GB paměť a 160GB pevný disk. Uživatelé mohou využít šest gigabitových síťových portů a dva USB porty. Základem Kernun UTM jsou aplikační proxy firewall, antivirová a antispamová ochrana a zabezpečení DNS. Systém je standardně dodáván s antivirem Dr.Web; kromě toho umí pracovat s řadou jiných antivirových systémů podporujících ICAP protokol (McAffe, Symantec, AVG či NOD32). Proxy pro protokoly elektronické pošty umožňují kontrolovat obsah přenášených zpráv a přítomnost spamu. V kombinaci s antivirovou kontrolou tak lze vystavět velmi robustní systém pro zajištění čistoty e-mailových schránek.

 

 

Mezi další funkce Kernun UTM 150 patří autentizace uživatelů pomocí hardwarových předmětů nebo šifrovaný přístup do vnitřní sítě prostřednictvím VPN s flexibilními možnostmi nastavení. Zařízení pracuje s protokoly IPsec/IKE a OpenVPN – druhý je vhodný jak pro připojení klienta k síti (point‑to‑multipoint), tak pro propojování sítí (point-to‑point). Kernun UTM 150 dále obsahuje paketový filtr s možnostmi detekce vzdáleného operačního systému, umožňuje řízení šířky pásma a ochrany proti útokům DoS a disponuje i funkcemi pro obousměrný překlad adres, normalizaci síťového provozu a logování komunikace. V základní verzi systému uživatel najde i funkce pro filtrování obsahu, detekci typu souboru podle obsahu, garanci autorizované DNS odpovědi, ochranu proti DNS poisoningu, kontrolu obsahu HTTPS spojení, monitoring provozu v reálném čase a virtuální privátní síť pro cestující uživatele.

 

Kernun UTM 150 lze volitelně doplnit o webfiltr Kernun Clear Web s katalogem webových serverů a URL adres. Databáze obsahuje průběžně aktualizované záznamy tříděné lidskými kategorizátory podle tematického obsahu. Podle údajů výrobce dosahuje tento filtr u českých zákazníků více než 90% úspěšnosti kategorizace webového provozu. Uživatelé mohou zařízení za příplatek provozovat i v režimu vysoké dostupnosti – dvě nebo více vzájemně se zálohujících hardwarových zařízení je pak spojeno do tzv. hot stand‑by clusteru. Ten také umožňuje připojení k více internetovým providerům a rozložení zátěže linky mezi ně.

 

Související odkazy

Kernun UTM
Produktový list Kernun UTM (PDF)


Zpět na přehled publikovaných článků