Zařízení pro UTM – výkonní univerzálové se širokým záběrem

Na rozdíl od softwarových řešení jsou zařízení pro UTM (Unified Threat Management) nabízena jako kompletní hardwarové řešení s výkonem a vybavením odpovídajícím všem (nebo téměř všem) potřebám firem z hlediska bezpečnosti výpočetního prostředí.

Většina výrobců v současnosti do základní ceny zahrnuje firewall, ochranu před průniky IPS a virtuální privátní síť VPN, avšak další funkcionalitu pro sjednocenou správu hrozeb je potřeba dokoupit formou příslušné licence. Zpravidla jde o licence pro neomezený počet uživatelů, jejich konkrétní počty limituje dodávaný hardware. Podobně jako u softwarových bezpečnostních produktů je nutné počítat s tím, že licence se obvykle vždy po roce obnovují.

Specifickým případem je zajištění vysoké dostupnosti – někteří výrobci dovolují provozovat dvě zařízení v redundantním režimu aktivní/pasivní bez nutnosti nákupu licencí pro obě zařízení. Dá se tak ušetřit část nákladů.

Pestrá nabídka
Do dnešního srovnání jsme vybrali třináct zařízení, která podle svých dodavatelů vyhoví jedinému kritériu – jsou vhodná pro české firmy s 50 až 500 uživateli. Z cenového i funkčního hlediska jde o velmi pestrou nabídku firem Barracuda, Cisco, Cyberoam, Fortinet, Check Point, Juniper, Kerio Technologies, TNS, McAfee, NetGear, SonicWALL, Sophos (dříve Astaro), WatchGuard a ZyXel.

Většina modelů je navíc jen jedním zástupcem širšího portfolia jednotlivých výrobců, kteří nabízejí celou škálu produktů v různě výkonných variantách a pro firmy rozličných velikostí, od těch nejmenších až po velké podniky a rozsáhlé sítě. Je potěšitelné, že mezi nabízenými modely se neztrácejí ani zařízení od firem s českými kořeny.

Všechny modely až na výjimky disponují základními funkcemi – firewallem, VPN se SSL i IPSec, antivirovým, antispywarovým a antispamovým softwarem, nástroji IPS a IDS pro detekci a obranu před záškodnickými průniky, webovým a aplikačním filtrem a ochranou komunikace přes instantní messengery a P2P. Propustnost se u firewallu pohybuje v širokém rozpětí od 350 Mb/s po 3 Gb/s, podobně široké rozpětí najdeme i u propustnosti nástrojů pro IPS a u VPN.

Každé zařízení je vybaveno minimálně čtyřmi síťovými porty, přičemž vždy alespoň dva jsou určeny pro gigabitový Ethernet. Přeborníkem v tomto směru je Kerio Control Box 3110, které v základním provedení nabízí hned osm gigabitových portů. Vůbec nejvíc (deset) portů najdeme u Fortinetu Fortigate 80C, osm z nich je ovšem určeno pouze pro Fast Ethernet.

Velká většina systémů je schopná pracovat v režimu vysoké dostupnosti; tam, kde tomu tak není, bývá možné přikoupit tuto volbu za příplatek. Naproti tomu u podpory 3G a Wimaxu přes USB port už nejsou údaje tak jednoznačné, i když alespoň jedním USB portem jsou vybaveny všechny modely.
U zhruba poloviny bez ohledu na cenu modelů najdeme i možnost virtualizace jejich provozu. Naproti tomu vybavení nástroji pro forenzní analýzu nebo korelaci událostí se stavem sítě či činností uživatelů je spíše slabší. Ani tady cena nerozhoduje.