Статьи и обзоры

Смартфоны, GPS, гаджеты Кулеры Мультимедиа Периферия Сети, Wi-Fi, VoIP b2b оборудование Носители информации, NAS Софт, игры, Windows Игровые манипуляторы Корпуса и блоки питания Системы безопасности Аналитика Технологии Материнские платы Своими руками Мониторы ТВ-тюнеры Компьютеры Видеокарты

Соц. сети

           

Сервисы

Рассылка новостей

Опрос

Обзор сетевого шлюза безопасности NETGEAR UTM50

Пред. ... 1 2 3 ... След. Конец
всего страниц: 3 | Все

Введение

В крупных организациях информационной безопасности уделяется больше внимания чем охране самого офиса, а расходы на сетевую безопасность могут запросто превысить бюджет на апгрейд сетевой инфраструктуры. И если перед вами ставится задача защитить офисные компьютеры от спама, вирусов, троянов и прочих вредоносных программ, то не рассчитывайте, что вам удастся отделаться малой кровью или проинсталлировав одну-единственную программу, отчитаться о результате. Конечно, вы можете перевести все рабочие машины на Linux клиенты, но мы понимаем, что скорее всего это исключение из правил. Наиболее простым решением, использующимся сегодня является локальная установка антивирусного ПО на клиентские машины, постоянное обновление операционной системы и вирусных сигнатур и постоянное напоминание, что не следует открывать незнакомые файлы в почте.

Но даже если ваш почтовый сервер надежно защищен от вторжений, использование личной почты на mail.ru сведет на нет все старания сисадмина. А без этого. как говорится, сейчас уже никуда.

Современные технологии позволяют создавать достаточно быстрые процессоры, способные анализировать сетевой трафик в реальном времени на уровне пакетов и приложений и с использованием баз сигнатур, определять и блокировать вредоносные фрагменты. Представьте себе - вы консолидируете сетевую безопасность в одном устройстве, которое отвечает и за доступ через VPN и за распределение виртуальных сетей VLAN, и обеспечивает отказоустойчивый доступ в интернет, переключая один из двух каналов. Ну и самое главное - в этом же устройстве встроен Firewall, антивирус, спам-фильтр, Web фильтр. Думаете, будет тормозить? Компания NETGEAR заявляет, что их серия UTM (Universal Threat Management) имеет пропускную способность антивируса до 130 Мбит/c, а SPI - до 900 Мбит/с в модели UTM150. Нам на тестирование дали модель UTM50, вторую сверху в модельном ряду компании. Она рассчитана на средние компании, в которых работает менее 100 сотрудников и поддерживает все те же функции, что и топовая.

Вообще, в модельном ряду NETGEAR UTM на сегодня присутствуют 5 моделей: UTM5, UTM10, UTM25, UTM50 и UTM150. Цифра в названии означает количество поддерживаемых VPN туннелей. Первые две модели SOHO-класса рассчитаны на малые офисы, эти устройства поддерживают по одному WAN-порту, имеют производительность антивирусного сканирования на уровне 15 и 20 Мбит/с и поддерживают до 5 VPN туннелей (до 2-х SSL VPN). Для небольшого офиса - самое то, учитывая дикие цены на высокоскоростной доступ в интернет.

Начиная с UTM25, вы получаете поддержку 2-х WAN портов с балансировкой нагрузки, а от UTM50 получите и производительность на уровне филиалов крупных компаний. Обратите внимание - в одной линейке производитель объединил устройства как для SOHO, так и для Enterprise. А так как реализация программных функций во всей серии одинакова и используются одни и те же базы сигнатур, небольшие компании могут рассчитывать на внимание Enterprise-класса со стороны производителя.

Но насколько быстрым ни был бы процессор, традиционный алгоритм последовательной фильтрации убьёт всю производительность, ведь каждый пакет надо сначала провести через ACL фильтр, а затем через антивирус, и чем больше ступеней фильтрации вы установите, тем больше будут задержки. В обычной жизни это приведет к тому, что даже локальный трафик из гигабитного превратится в 50-мегабитный. Но специалисты NETGEAR применили технологию потокового сканирования, при которой шлюз не дожидается принятия полного пакета и начинает сканировать его после начала передачи и сразу же отправляет его в сеть. Выгода от такого алгоритма наглядно показана на диаграмме ниже.

Во многом, благодаря этому и появилась возможность интегрировать шлюз в сеть без ущерба для производительности инфраструктуры, какие бы приложения вы ни использовали - начиная от банк-клиента и заканчивая репликацией баз данных. Пусть весь трафик идет через NETGEAR UTM, не взирая на протоколы и порты.

Чем еще может удивить этот шлюз безопасности? Бич современного интернета - спам, отвлекающий с утра и до ночи. В NETGEAR UTM применена технология распределенного анализа входящей почты. Шлюз использует некоторое подобие черных списков и сигнатур с более чем 50 миллионов источников и не требует времени на обучение. Правда, не понятно, как самостоятельно обучать шлюз, чтобы отписаться, например, от назойливой рассылки китайских партнеров или какого-то майл-листа, который является спамом только для вас.

Естественно, такая напасть, как вредоносное ПО (трояны и прочие Malware), которые частенько пропускаются даже самыми новыми вирусами, не должна беспокоить офис, находящийся под защитой NETGEAR UTM. Производитель заявляет базу сигнатур, содержащую свыше 1 миллиона вредоносных программ с обновлением каждые 15 минут, с эвристическим анализом, обеспечивающим защиту от вновь появляющихся угроз (Zero-Hour Protection). Ну и опять-таки, NETGEAR подчеркивает производительность, в 400 раз превышающая скорость сканирования известных антивирусов и программ типа «все-в-одном». Правда, по сути, такая расплывчатая формулировка мало о чем говорит. Ведь, например, Антивирус Касперского постоянно увеличивает свою производительность, но как тормозил, так и тормозит.

Следующая напасть, с которой борется NETGEAR, это - клиенты мгновенных сообщений и P2P программы. Хотите запретить «аську», «скайп» и «торренты» - вам нужно лишь закрыть соответствующие сервисы. Справедливости ради, эти возможности есть даже в современных домашних роутерах среднего класса. Но "аську" и "скайп" в них не так-то просто закрыть, особенно QIP. Здесь же идет разбор пакета на L5-L6 семиуровневой модели OSI.

Классификатор Web-сайтов, антивирус, спам-фильтр и Firewall, - на этих китах держится сетевая безопасность как домашнего пользователя, так и крупной корпорации, и куда важнее - как эта функциональность реализована в программном и аппаратном плане.

Конструкция межсетевого шлюза

NETGEAR UTM выполнен в 1U корпусе, предназначенном для установки в телекоммуникационные подвесные шкафы. Глубина младших версий составляет 21 сантиметр, в то время как UTM25 и UTM50 - 25.3 см. NETGEAR UTM5, UTM10 и UTM25 имеют ширину всего 33 см, что позволяет устанавливать их просто на тумбочке в офисе или крепить в шкаф или стойку с помощью поставляемых в комплекте креплений.

Традиционно, кабель питания подключается сзади, сетевые и USB порты - спереди. LAN и WAN порты логически разделены на корпусе и имеют простую индикацию активности.

WAN-портов маловато - всего 2, и хотя для резервирования доступа в интернет больше и не нужно, некоторые модели имеют по 4 WAN порта. Зато LAN портов целых 6 штук, а это значит, что вы будете иметь больше возможностей по настройке внутриофисной сети.

На лицевой стороне установлен одинокий USB порт, но в характеристиках NETGEAR UTM50 нет никакой информации об USB приложениях, так что для того, чтобы понять, зачем он нужен, придется покопаться в настройках.

По своей внутренней конструкции NETGEAR UTM50 более походит на роутеры и коммутаторы, нежели на сервер приложений, хотя по сути он впитал в себя и то и другое. Обилие свободного места в корпусе навевает тоску, но что поделать, ведь 1U корпус, в котором исполнена топовая модель межсетевого шлюза, должна устанавливаться в корпус без всяких переходников, как младшие модели в серии. Это чистый маркетинг, но в таком корпусе электроника не будет перегреваться, а значит UTM50 будет работать бесшумно, а при поломке вентилятора не будет зависать.

Интересно, что для хранения вирусных сигнатур используется флеш-карточка Apacer объемом 2 Гб. На плате видна разметка под неустановленный слот SODIMM, и возможно будущие модели будут использовать больший объем ОЗУ. Но тут итак установлен 1 Гигабайт DDR2, набранный 8-ю чипами Samsung k4t1g164qe-hce6.

Сердцем устройства является 2-ядерный 64-битный MIPS процессор Octeon CN5020 от Cavium Networks с частотой 700 МГц. Учитывая RISC-архитектуру процессора, можно ожидать от него очень высокую производительность, особенно в конвейерных операциях, таких как проверка передаваемых в сеть пакетов.


Пред. ... 1 2 3 ... След. Конец
всего страниц: 3 | Все

новые статьи


 

Печать
Подписаться на рассылку
RSS-ленты