• nav


Обзор сетевого шлюза безопасности NETGEAR UTM50

Введение

В крупных организациях информационной безопасности уделяется больше внимания чем охране самого офиса, а расходы на сетевую безопасность могут запросто превысить бюджет на апгрейд сетевой инфраструктуры. И если перед вами ставится задача защитить офисные компьютеры от спама, вирусов, троянов и прочих вредоносных программ, то не рассчитывайте, что вам удастся отделаться малой кровью или проинсталлировав одну-единственную программу, отчитаться о результате. Конечно, вы можете перевести все рабочие машины на Linux клиенты, но мы понимаем, что скорее всего это исключение из правил. Наиболее простым решением, использующимся сегодня является локальная установка антивирусного ПО на клиентские машины, постоянное обновление операционной системы и вирусных сигнатур и постоянное напоминание, что не следует открывать незнакомые файлы в почте.

Но даже если ваш почтовый сервер надежно защищен от вторжений, использование личной почты на mail.ru сведет на нет все старания сисадмина. А без этого. как говорится, сейчас уже никуда.

Современные технологии позволяют создавать достаточно быстрые процессоры, способные анализировать сетевой трафик в реальном времени на уровне пакетов и приложений и с использованием баз сигнатур, определять и блокировать вредоносные фрагменты. Представьте себе - вы консолидируете сетевую безопасность в одном устройстве, которое отвечает и за доступ через VPN и за распределение виртуальных сетей VLAN, и обеспечивает отказоустойчивый доступ в интернет, переключая один из двух каналов. Ну и самое главное - в этом же устройстве встроен Firewall, антивирус, спам-фильтр, Web фильтр. Думаете, будет тормозить? Компания NETGEAR заявляет, что их серия UTM (Universal Threat Management) имеет пропускную способность антивируса до 130 Мбит/c, а SPI - до 900 Мбит/с в модели UTM150. Нам на тестирование дали модель UTM50, вторую сверху в модельном ряду компании. Она рассчитана на средние компании, в которых работает менее 100 сотрудников и поддерживает все те же функции, что и топовая.

NetGear UTM50 - сетевой шлюз безопасности

Вообще, в модельном ряду NETGEAR UTM на сегодня присутствуют 5 моделей: UTM5, UTM10, UTM25, UTM50 и UTM150. Цифра в названии означает количество поддерживаемых VPN туннелей. Первые две модели SOHO-класса рассчитаны на малые офисы, эти устройства поддерживают по одному WAN-порту, имеют производительность антивирусного сканирования на уровне 15 и 20 Мбит/с и поддерживают до 5 VPN туннелей (до 2-х SSL VPN). Для небольшого офиса - самое то, учитывая дикие цены на высокоскоростной доступ в интернет.

Начиная с UTM25, вы получаете поддержку 2-х WAN портов с балансировкой нагрузки, а от UTM50 получите и производительность на уровне филиалов крупных компаний. Обратите внимание - в одной линейке производитель объединил устройства как для SOHO, так и для Enterprise. А так как реализация программных функций во всей серии одинакова и используются одни и те же базы сигнатур, небольшие компании могут рассчитывать на внимание Enterprise-класса со стороны производителя.

Но насколько быстрым ни был бы процессор, традиционный алгоритм последовательной фильтрации убьёт всю производительность, ведь каждый пакет надо сначала провести через ACL фильтр, а затем через антивирус, и чем больше ступеней фильтрации вы установите, тем больше будут задержки. В обычной жизни это приведет к тому, что даже локальный трафик из гигабитного превратится в 50-мегабитный. Но специалисты NETGEAR применили технологию потокового сканирования, при которой шлюз не дожидается принятия полного пакета и начинает сканировать его после начала передачи и сразу же отправляет его в сеть. Выгода от такого алгоритма наглядно показана на диаграмме ниже.

Во многом, благодаря этому и появилась возможность интегрировать шлюз в сеть без ущерба для производительности инфраструктуры, какие бы приложения вы ни использовали - начиная от банк-клиента и заканчивая репликацией баз данных. Пусть весь трафик идет через NETGEAR UTM, не взирая на протоколы и порты.

Чем еще может удивить этот шлюз безопасности? Бич современного интернета - спам, отвлекающий с утра и до ночи. В NETGEAR UTM применена технология распределенного анализа входящей почты. Шлюз использует некоторое подобие черных списков и сигнатур с более чем 50 миллионов источников и не требует времени на обучение. Правда, не понятно, как самостоятельно обучать шлюз, чтобы отписаться, например, от назойливой рассылки китайских партнеров или какого-то майл-листа, который является спамом только для вас.

Естественно, такая напасть, как вредоносное ПО (трояны и прочие Malware), которые частенько пропускаются даже самыми новыми вирусами, не должна беспокоить офис, находящийся под защитой NETGEAR UTM. Производитель заявляет базу сигнатур, содержащую свыше 1 миллиона вредоносных программ с обновлением каждые 15 минут, с эвристическим анализом, обеспечивающим защиту от вновь появляющихся угроз (Zero-Hour Protection). Ну и опять-таки, NETGEAR подчеркивает производительность, в 400 раз превышающая скорость сканирования известных антивирусов и программ типа «все-в-одном». Правда, по сути, такая расплывчатая формулировка мало о чем говорит. Ведь, например, Антивирус Касперского постоянно увеличивает свою производительность, но как тормозил, так и тормозит.

Следующая напасть, с которой борется NETGEAR, это - клиенты мгновенных сообщений и P2P программы. Хотите запретить «аську», «скайп» и «торренты» - вам нужно лишь закрыть соответствующие сервисы. Справедливости ради, эти возможности есть даже в современных домашних роутерах среднего класса. Но "аську" и "скайп" в них не так-то просто закрыть, особенно QIP. Здесь же идет разбор пакета на L5-L6 семиуровневой модели OSI.

Классификатор Web-сайтов, антивирус, спам-фильтр и Firewall, - на этих китах держится сетевая безопасность как домашнего пользователя, так и крупной корпорации, и куда важнее - как эта функциональность реализована в программном и аппаратном плане.

Конструкция межсетевого шлюза

NETGEAR UTM выполнен в 1U корпусе, предназначенном для установки в телекоммуникационные подвесные шкафы. Глубина младших версий составляет 21 сантиметр, в то время как UTM25 и UTM50 - 25.3 см. NETGEAR UTM5, UTM10 и UTM25 имеют ширину всего 33 см, что позволяет устанавливать их просто на тумбочке в офисе или крепить в шкаф или стойку с помощью поставляемых в комплекте креплений.

Сетевой шлюз безопасности Netgear UTM50

Традиционно, кабель питания подключается сзади, сетевые и USB порты - спереди. LAN и WAN порты логически разделены на корпусе и имеют простую индикацию активности.

Вид сзади на сетевой шлюз

WAN-портов маловато - всего 2, и хотя для резервирования доступа в интернет больше и не нужно, некоторые модели имеют по 4 WAN порта. Зато LAN портов целых 6 штук, а это значит, что вы будете иметь больше возможностей по настройке внутриофисной сети.

На лицевой стороне установлен одинокий USB порт, но в характеристиках NETGEAR UTM50 нет никакой информации об USB приложениях, так что для того, чтобы понять, зачем он нужен, придется покопаться в настройках.

Материнская плата Netgear UTM50

По своей внутренней конструкции NETGEAR UTM50 более походит на роутеры и коммутаторы, нежели на сервер приложений, хотя по сути он впитал в себя и то и другое. Обилие свободного места в корпусе навевает тоску, но что поделать, ведь 1U корпус, в котором исполнена топовая модель межсетевого шлюза, должна устанавливаться в корпус без всяких переходников, как младшие модели в серии. Это чистый маркетинг, но в таком корпусе электроника не будет перегреваться, а значит UTM50 будет работать бесшумно, а при поломке вентилятора не будет зависать.

Системная плата Netgear UTM50

Интересно, что для хранения вирусных сигнатур используется флеш-карточка Apacer объемом 2 Гб. На плате видна разметка под неустановленный слот SODIMM, и возможно будущие модели будут использовать больший объем ОЗУ. Но тут итак установлен 1 Гигабайт DDR2, набранный 8-ю чипами Samsung k4t1g164qe-hce6.

Процессор шлюза Netgear UTM50

Сердцем устройства является 2-ядерный 64-битный MIPS процессор Octeon CN5020 от Cavium Networks с частотой 700 МГц. Учитывая RISC-архитектуру процессора, можно ожидать от него очень высокую производительность, особенно в конвейерных операциях, таких как проверка передаваемых в сеть пакетов.





ПОХОЖИЕ СТАТЬИ:

SD-WAN или MPLS: почему SD-WAN является лучшим выбором

Решение о переходе на SD-WAN имеет значительные последствия для бизнеса. Если коротко, то ответ будет следующим: технология SD-WAN обеспечивает более высокую прозрачность, лучшую доступность и повышенную производительность, а также...

Обзор решения для малого офиса от Zyxel: VPN шлюз ZyWall VPN2S и точка доступа NWA1123-ACv2

Простое устройство, которым вы можете отключить вашим сотрудникам доступ к развлекательным сайтам, блокировать доступ в интернет целыми категориями веб-сайтов, настроить быстрый VPN и отказоустойчивую работу двух провайдеров.

...

Обзор мощного шестидискового NAS для бизнеса - NETGEAR ReadyNAS 516

Сегодня мы рассматриваем один из самых мощных настольных 6-дисковых NAS-ов, которые можно купить на рынке. Он имеет современный процессор Core i3, но с пассивным охлаждением. Этот NAS поддерживает установку плат расширения, а зна...

Обзор самого доступного четырёхдискового NAS - NETGEAR RN10400

Мы уже неоднократно рассматривали 4-дисковые сетевые накопители NETGEAR, но в этом году компания поменяла не только дизайн самого хранилища, но и его операционную систему, благодаря чему удалось снова вызвать те са...

Сетевой коммутатор корпоративного класса Netgear ProSafe 24+2 L2 (FSM726)

Как правило, подобные сетевые коммутаторы рассматриваются как рабочие лошадки в предприятиях разного класса, от мала до велика. 24 локальных медных 100-мегабитных порта, 2 магистральных комбинированных SFP/медь, поддержка 512 ста...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Обзор видеокарты Palit GTX 1660 Super: тестируем новинку в задачах вычислений и машинного обучения

Новая серия видеокарт GTX 1660 Super интересна, прежде всего, памятью GDDR6, имеющей высокую пропускную способность. Это именно то, что надо для задач машинного обучения и работы в Tensorflow. Как минимум, вы можете создать...

Neffos C9 Max – недорогой смартфон с большим IPS-экраном

Мы регулярно тестируем смартфоны бренда Neffos, недавно у нас была модель X20 стоимостью 8500 рублей, а сегодня мы познакомимся с моделью чуть дешевле, за 7000 рублей – C9 Max. Это шестидюймовый смартфон с мощным...