• nav


Обзор сетевого шлюза безопасности NETGEAR UTM50

Введение

В крупных организациях информационной безопасности уделяется больше внимания чем охране самого офиса, а расходы на сетевую безопасность могут запросто превысить бюджет на апгрейд сетевой инфраструктуры. И если перед вами ставится задача защитить офисные компьютеры от спама, вирусов, троянов и прочих вредоносных программ, то не рассчитывайте, что вам удастся отделаться малой кровью или проинсталлировав одну-единственную программу, отчитаться о результате. Конечно, вы можете перевести все рабочие машины на Linux клиенты, но мы понимаем, что скорее всего это исключение из правил. Наиболее простым решением, использующимся сегодня является локальная установка антивирусного ПО на клиентские машины, постоянное обновление операционной системы и вирусных сигнатур и постоянное напоминание, что не следует открывать незнакомые файлы в почте.

Но даже если ваш почтовый сервер надежно защищен от вторжений, использование личной почты на mail.ru сведет на нет все старания сисадмина. А без этого. как говорится, сейчас уже никуда.

Современные технологии позволяют создавать достаточно быстрые процессоры, способные анализировать сетевой трафик в реальном времени на уровне пакетов и приложений и с использованием баз сигнатур, определять и блокировать вредоносные фрагменты. Представьте себе - вы консолидируете сетевую безопасность в одном устройстве, которое отвечает и за доступ через VPN и за распределение виртуальных сетей VLAN, и обеспечивает отказоустойчивый доступ в интернет, переключая один из двух каналов. Ну и самое главное - в этом же устройстве встроен Firewall, антивирус, спам-фильтр, Web фильтр. Думаете, будет тормозить? Компания NETGEAR заявляет, что их серия UTM (Universal Threat Management) имеет пропускную способность антивируса до 130 Мбит/c, а SPI - до 900 Мбит/с в модели UTM150. Нам на тестирование дали модель UTM50, вторую сверху в модельном ряду компании. Она рассчитана на средние компании, в которых работает менее 100 сотрудников и поддерживает все те же функции, что и топовая.

NetGear UTM50 - сетевой шлюз безопасности

Вообще, в модельном ряду NETGEAR UTM на сегодня присутствуют 5 моделей: UTM5, UTM10, UTM25, UTM50 и UTM150. Цифра в названии означает количество поддерживаемых VPN туннелей. Первые две модели SOHO-класса рассчитаны на малые офисы, эти устройства поддерживают по одному WAN-порту, имеют производительность антивирусного сканирования на уровне 15 и 20 Мбит/с и поддерживают до 5 VPN туннелей (до 2-х SSL VPN). Для небольшого офиса - самое то, учитывая дикие цены на высокоскоростной доступ в интернет.

Начиная с UTM25, вы получаете поддержку 2-х WAN портов с балансировкой нагрузки, а от UTM50 получите и производительность на уровне филиалов крупных компаний. Обратите внимание - в одной линейке производитель объединил устройства как для SOHO, так и для Enterprise. А так как реализация программных функций во всей серии одинакова и используются одни и те же базы сигнатур, небольшие компании могут рассчитывать на внимание Enterprise-класса со стороны производителя.

Но насколько быстрым ни был бы процессор, традиционный алгоритм последовательной фильтрации убьёт всю производительность, ведь каждый пакет надо сначала провести через ACL фильтр, а затем через антивирус, и чем больше ступеней фильтрации вы установите, тем больше будут задержки. В обычной жизни это приведет к тому, что даже локальный трафик из гигабитного превратится в 50-мегабитный. Но специалисты NETGEAR применили технологию потокового сканирования, при которой шлюз не дожидается принятия полного пакета и начинает сканировать его после начала передачи и сразу же отправляет его в сеть. Выгода от такого алгоритма наглядно показана на диаграмме ниже.

Во многом, благодаря этому и появилась возможность интегрировать шлюз в сеть без ущерба для производительности инфраструктуры, какие бы приложения вы ни использовали - начиная от банк-клиента и заканчивая репликацией баз данных. Пусть весь трафик идет через NETGEAR UTM, не взирая на протоколы и порты.

Чем еще может удивить этот шлюз безопасности? Бич современного интернета - спам, отвлекающий с утра и до ночи. В NETGEAR UTM применена технология распределенного анализа входящей почты. Шлюз использует некоторое подобие черных списков и сигнатур с более чем 50 миллионов источников и не требует времени на обучение. Правда, не понятно, как самостоятельно обучать шлюз, чтобы отписаться, например, от назойливой рассылки китайских партнеров или какого-то майл-листа, который является спамом только для вас.

Естественно, такая напасть, как вредоносное ПО (трояны и прочие Malware), которые частенько пропускаются даже самыми новыми вирусами, не должна беспокоить офис, находящийся под защитой NETGEAR UTM. Производитель заявляет базу сигнатур, содержащую свыше 1 миллиона вредоносных программ с обновлением каждые 15 минут, с эвристическим анализом, обеспечивающим защиту от вновь появляющихся угроз (Zero-Hour Protection). Ну и опять-таки, NETGEAR подчеркивает производительность, в 400 раз превышающая скорость сканирования известных антивирусов и программ типа «все-в-одном». Правда, по сути, такая расплывчатая формулировка мало о чем говорит. Ведь, например, Антивирус Касперского постоянно увеличивает свою производительность, но как тормозил, так и тормозит.

Следующая напасть, с которой борется NETGEAR, это - клиенты мгновенных сообщений и P2P программы. Хотите запретить «аську», «скайп» и «торренты» - вам нужно лишь закрыть соответствующие сервисы. Справедливости ради, эти возможности есть даже в современных домашних роутерах среднего класса. Но "аську" и "скайп" в них не так-то просто закрыть, особенно QIP. Здесь же идет разбор пакета на L5-L6 семиуровневой модели OSI.

Классификатор Web-сайтов, антивирус, спам-фильтр и Firewall, - на этих китах держится сетевая безопасность как домашнего пользователя, так и крупной корпорации, и куда важнее - как эта функциональность реализована в программном и аппаратном плане.

Конструкция межсетевого шлюза

NETGEAR UTM выполнен в 1U корпусе, предназначенном для установки в телекоммуникационные подвесные шкафы. Глубина младших версий составляет 21 сантиметр, в то время как UTM25 и UTM50 - 25.3 см. NETGEAR UTM5, UTM10 и UTM25 имеют ширину всего 33 см, что позволяет устанавливать их просто на тумбочке в офисе или крепить в шкаф или стойку с помощью поставляемых в комплекте креплений.

Сетевой шлюз безопасности Netgear UTM50

Традиционно, кабель питания подключается сзади, сетевые и USB порты - спереди. LAN и WAN порты логически разделены на корпусе и имеют простую индикацию активности.

Вид сзади на сетевой шлюз

WAN-портов маловато - всего 2, и хотя для резервирования доступа в интернет больше и не нужно, некоторые модели имеют по 4 WAN порта. Зато LAN портов целых 6 штук, а это значит, что вы будете иметь больше возможностей по настройке внутриофисной сети.

На лицевой стороне установлен одинокий USB порт, но в характеристиках NETGEAR UTM50 нет никакой информации об USB приложениях, так что для того, чтобы понять, зачем он нужен, придется покопаться в настройках.

Материнская плата Netgear UTM50

По своей внутренней конструкции NETGEAR UTM50 более походит на роутеры и коммутаторы, нежели на сервер приложений, хотя по сути он впитал в себя и то и другое. Обилие свободного места в корпусе навевает тоску, но что поделать, ведь 1U корпус, в котором исполнена топовая модель межсетевого шлюза, должна устанавливаться в корпус без всяких переходников, как младшие модели в серии. Это чистый маркетинг, но в таком корпусе электроника не будет перегреваться, а значит UTM50 будет работать бесшумно, а при поломке вентилятора не будет зависать.

Системная плата Netgear UTM50

Интересно, что для хранения вирусных сигнатур используется флеш-карточка Apacer объемом 2 Гб. На плате видна разметка под неустановленный слот SODIMM, и возможно будущие модели будут использовать больший объем ОЗУ. Но тут итак установлен 1 Гигабайт DDR2, набранный 8-ю чипами Samsung k4t1g164qe-hce6.

Процессор шлюза Netgear UTM50

Сердцем устройства является 2-ядерный 64-битный MIPS процессор Octeon CN5020 от Cavium Networks с частотой 700 МГц. Учитывая RISC-архитектуру процессора, можно ожидать от него очень высокую производительность, особенно в конвейерных операциях, таких как проверка передаваемых в сеть пакетов.

Web-интерфейс

Хорошо, пришло времени посмотреть на настройки сетевого шлюза безопасности, ведь настройку такого рода устройств мы еще не производили. Интерфейс сложный и запутанный, так что с трудом удается запомнить, где и какая настройка была расположена.

Интерфейс


При заходе в админ-меню мы попадаем на страницу статусного экрана, где показаны основные жизненные параметры устройства: количество разных соединений, загрузка памяти, процессора, а так же текущие версии сигнатур и лицензии. Таким образом одного взгляда будет достаточно, чтобы понять, произошло ли обновление баз вредоносных программ и спама, нормально ли чувствует себя шлюз, идет ли какая атака и если да, то по каким протоколам.

Web-интерфейс

Столь же наглядно отображается статус виртуальных сетей VLAN. По умолчанию все LAN порты объединены в первый VLAN с включенным DHCP, но вы можете настраивать виртуальные сети как захотите, в том числе и маршрутизацию между виртуальными сетями, а так же жесткую привязку сетевого LAN порта к виртуальной сети.

Web-интерфейс

Межсетевой экран позволяет настраивать правила фильтрации трафика между WAN и LAN портами, определять правила для демилитаризованной зоны (DMZ). Причем, вы можете создать DMZ как со стороны глобальной сети (WAN), так и с локальной (LAN).

И хотя многие настройки правил здесь выглядят знакомо (все же мы видели многое в других маршрутизаторах), нас более интересуют те функции, которые отличают Firewall от шлюза безопасности - антивирус, защита от спама и прочие сладости.

Web-интерфейс

Прежде всего, посмотрим на защиту электронной почты. Самый простой способ борьбы со спамом, известный еще с древних времен - это фильтрация по ключевым словам. Хотите избавиться от «копий швейцарский часов» - будьте уверены, никто из ваших сотрудников не поговорит о них по электронной почте. Ну а если же кто-то захочет передать данные по электронной почте в запароленном архиве, вы так же сможете узнать об этом и перехватить архив, либо продолжить наблюдение. Что ж получается, передавать данные в незапароленных архивах безопаснее?

Ну и естественно, фильтрация по расширению файлов избавит вашу электронную почту от mp3, троянов и разных нежелательных файлов. Что важно, для каждого протокола (IMAP, SMPT и POP3) реакции на фильтр могут быть разными.

Web-интерфейс

Ну а для более эффективной борьбы со спамом все же придется воспользоваться загружаемыми сигнатурами с бесплатных сервисов, таких как Spamhaus, Spamcop и других. Информация с тысяч серверов будет использоваться вашим шлюзом, чтобы предотвратить захламление нежелательной почтой вашей сети. И главное - обновление происходит в реальном времени и бесплатно.

Технология анализа распространения спама (Distributed Spam Analysis) получает данные о распространении спама более чем с 50 миллионов источников по всему миру, что позоляет создавать карту распространения электронной почты и получать больше информации о письме, чем содержит его заголовок. Это позволяет предотвращать распространение спама на раннем этапе, до того как ваша сеть или ваш шлюз станут частью ботнета.

Не менее интересно выглядит и сканирование трафика на вредоносный код. На данном этапе поддерживается скан протоколов HTTP и HTTPS и файлов объемом до 10.2 Мб. Пожалуй, это позволит избавиться от самой значительной проблемы безопасности в офисных сетях - получению троянских программ и вирусов, скачиваемых из интернета.

web-интерфейс

Но не менее важен контент-фильтр, который здесь позволяет блокировать целые категории интернет-сайтов. Запретить просматривать развлекательные сайты, анонимайзеры, игровые сайты, p2p-сети, web-почту и, конечно же, порносайты теперь можно целыми категориями. В дополнение можно будет добавлять свои URL-ы запрещенных сайтов, если их нет в списке. Но что более важно, вы сможете настроить исключения для некоторых IP-адресов. Например, директору и главному сисадмину доступ к adult-сайтам можно-то и оставить :)

Тестирование

Для тестирования NETGEAR UTM50 мы использовали проверенный временем пакет IXChariot. Но, наш стандартный скрипт Hi-Perf Throughput не смог показать нормальную картину производительности: скорость LAN-to-WAN составляла примерно 1 Гбит/с как со включенными ACL фильтрами, так и без них. Проще говоря, созданный искусственно трафик спокойно проходил через ACL, и производительности процессора достаточно для того, чтобы обрабатывать поток на максимальной пропускной способности интерфейса.

О чем нам это говорит? По производительности ACL получается бесплатен, и любые правила брэндмауэра вы можете использовать, не задумываясь о том, что они будут снижать пропускную способность сети. И даже если мы отключим часть сервисов, таких как торренты, это не повлияет на скорость.

НаправлениеСкорость (Мбит/с)
LAN-LAN977
LAN-WAN (Antivirus OFF, ACL ON)457
LAN-WAN (Antivirus On)44

Глядя на то, как антивирус режет производительность LAN-WAN в 20 раз, понимаешь, почему производитель не дал возможности включения этой функции для работы в LAN среде. С другой стороны, реальная скорость безопасного доступа в интернет на уровне 40 мегабит в секунду - это более чем достаточно на ближайшие 4-5 лет, так как едва ли тарифы на доступ в интернет для юридических лиц станут нормальными. Такой скрости вполне достаточно для доступа по VPN, работы нескольких клиентов через RDP, да ещё и из-под разных платформ, не говоря уже о веб-серфинге, синхронизации баз данных и работе с банк-клиентом. Подчеркиваем еще раз - это скорость безопасного интернета.

Цена вопроса

Средняя стоимость NETGEAR UTM50 составляет 800$. По сравнению с более раскрученным производителем шлюзов безопасности, Checkpoint, выигрыш в цене более чем двукратный. При этом, вам не нужно заботиться о покупке каких-то апдейтов, лицензий, продлениях платной подписки.

Выводы

NETGEAR UTM50 позволяет сократить смету на сетевую инфраструктуру небольшого офиса, его функционал обеспечит бесперебойную работу с интернетом через 2 выделенных канала, организует VPN доступ для сотрудников «на удаленке» и существенно сэкономит трафик и более дорогое рабочее время, борясь со спамом и блокируя доступ к целым категориям нежелательных сайтов. При грамотном ограничении прав пользователей, вы сможете вовсе избавиться от антивирусов на рабочих машинах, а это - еще более существенная экономия средств. Правда, не знаю, насколько вы готовы отказаться от локальных антивирусов в пользу консолидированного устройства.

Тем не менее, NETGEAR UTM50 - не живой сисадмин и не панацея от всех болезней. К примеру, распространение заразы в рамках собственной сети он не сможет предотвратить, и если кто-то принес вирус на флешке - рассчитывайте только на свои силы.

Куда важнее, что с помощью NETGEAR UTM50 вы сможете делить вашу сеть в любой конфигурации и настраивать правила и исключения для каждой виртуальной сети. Вы легко сможете ограничить трафик и количество доступных ресурсов для одной группы, оставив полный функционал для другой. Вы сможете даже получать информацию, кто пытается отправить из вашего офиса запароленные архивы, чтобы пресечь утечку важных документов. Сам же по себе шлюз безопасности обладает исчерпывающей информативностью, так что вам будет легко следить за его состоянием, чтобы понять, ведется ли атака на вашу корпоративную сеть, как у вас обстоят дела с заспамленностью рабочих почтовых ящиков, обновлены ли сигнатуры и прошивка и справляется ли сам девайс с возложенной на него нагрузкой.

Недавно мы рассматривали NETGEAR SRX 5308, который я рекомендовал как решение для VPN-доступа для небольших компаний. Нисколько не умоля достоинств этой модели, теперь я считаю, что построение сети небольшой компании следует начинать с таких вот, умных шлюзов безопасности, как NETGEAR UTM. И мы присуждаем данному устройству нашу высшую награду "Выбор Редакции".

Официальный сайт NETGEAR - www.netgear.ru

Михаил Дегтярёв (aka LIKE OFF)
30/08.2012





ПОХОЖИЕ СТАТЬИ:

SD-WAN или MPLS: почему SD-WAN является лучшим выбором

Решение о переходе на SD-WAN имеет значительные последствия для бизнеса. Если коротко, то ответ будет следующим: технология SD-WAN обеспечивает более высокую прозрачность, лучшую доступность и повышенную производительность, а также...

Обзор решения для малого офиса от Zyxel: VPN шлюз ZyWall VPN2S и точка доступа NWA1123-ACv2

Простое устройство, которым вы можете отключить вашим сотрудникам доступ к развлекательным сайтам, блокировать доступ в интернет целыми категориями веб-сайтов, настроить быстрый VPN и отказоустойчивую работу двух провайдеров.

...

Обзор мощного шестидискового NAS для бизнеса - NETGEAR ReadyNAS 516

Сегодня мы рассматриваем один из самых мощных настольных 6-дисковых NAS-ов, которые можно купить на рынке. Он имеет современный процессор Core i3, но с пассивным охлаждением. Этот NAS поддерживает установку плат расширения, а зна...

Обзор самого доступного четырёхдискового NAS - NETGEAR RN10400

Мы уже неоднократно рассматривали 4-дисковые сетевые накопители NETGEAR, но в этом году компания поменяла не только дизайн самого хранилища, но и его операционную систему, благодаря чему удалось снова вызвать те са...

Сетевой коммутатор корпоративного класса Netgear ProSafe 24+2 L2 (FSM726)

Как правило, подобные сетевые коммутаторы рассматриваются как рабочие лошадки в предприятиях разного класса, от мала до велика. 24 локальных медных 100-мегабитных порта, 2 магистральных комбинированных SFP/медь, поддержка 512 ста...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
Обзор трёх miniITX корпусов CrownMicro серии CMC-170

Сегодня речь пойдёт о трёх корпусах бренда CrownMicro для сборки ультракомпактных miniITX систем, а именно: CMC-170-113, CMC-170-303 и CMC-170-803. Эти модели имеют стильный дизайн, внешние блоки питания, VESA крепление...

Экспресс-тест видеокарты Palit GeForce RTX 2080 Super в задачах машинного обучения

Если вы выбираете GPU не только для игр, но и для научных расчётов, вам интересно видеть видеокарту с тензорными ядрами и современной памятью GDDR6 объёмом 8 Гб. Благодаря поддержке FP16, в некоторых теслах она показывает...