Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

UTM kontra firewall nowej generacji

Nowoczesne bramy sieciowe doskonale filtrują różnego rodzaju zagrożenia styku sieci. Ich zasadniczy podział na systemy UTM i NGFW bardziej stanowi przekaz marketingowy, aniżeli wskazuje rzeczywiste różnice między nimi.

Wydaje się, że jako slogan marketingowy NGFW wygrał bitwę o klientów. Fortinet, przez lata niekwestionowany lider rozwiązań klasy UTM, dzisiaj określa swoje produkty Fortigate mianem zapór nowej generacji. To nadal te same najwyższej jakości produkty klasy korporacyjnej.

Urządzenia klasy UTM (Unified Threat Management) oraz NGFW (Next Generation Firewall) na dobre wpisały się w krajobraz centrów danych oraz serwerowni różnej wielkości instytucji oraz przedsiębiorstw. Powodów ku temu jest wiele, ale dwa wydają się najważniejsze. Po pierwsze, klasyczne zapory sieciowe, działające w trybie stanowym (statefull-inspection), umożliwiają filtrowanie ruchu sieciowego w warstwie 3 oraz 4 modelu OSI, a więc na poziomie adresu źródłowego i docelowego oraz portu (protokołu). Systemy te realizują też kilka innych kluczowych funkcji, takich jak NAT i VPN, ale nie to jest w tym miejscu najważniejsze. Dzisiaj niemal dowolny ruch aplikacji można przesłać w tunelu HTTP lub HTTPS, a zatem poprzez powszechnie otwarte porty 80 oraz 443. Z perspektywy ochrony brzegu sieci sprawia to, że filtrowanie w warstwie 3 i 4 nadal jest niezwykle potrzebne, ale zupełnie nieefektywne.

Po drugie, współczesne bramy internetowe mogą w jednym urządzeniu realizować wiele funkcji sieciowych, które dotychczas były rozdzielane na wiele systemów. Mowa tu o mechanizmach wykrywania i zapobiegania włamaniom, filtrowania treści czy też ochronie przed malware i spamem. Podejście to pozwala ograniczyć koszty zakupu i utrzymania infrastruktury zabezpieczeń, a dodatkowo jest zdecydowanie prostsze w zarządzaniu. To oczywiście propozycja dla małych i średnich organizacji, które dzięki temu podejściu mają szasnę wdrażać rozwiązania klasy korporacyjnej, bez ponoszenia nadmiernych kosztów wynikających z zakupu pojedynczych rozwiązań, ich integracji w spójnym systemie zabezpieczeń oraz późniejszego utrzymania.

Podobieństwa i różnice

Punktem wyjścia do poszukiwania podobieństw i różnic między rozwiązaniami klasy UTM oraz NGFW może być ich pochodzenie. Idea UTM zrodziła się z potrzeby integracji w jednym systemie wielu niezależnych rozwiązań z zakresu bezpieczeństwa sieci: wykrywania włamań IDS/IPS, filtrowania adresów URL i treści, ochrony antywirusowej i antyspamowej, VPN czy zapewnienia jakości usług (QoS) i równoważenia obciążeń sieciowych. Mechanizmy te zostały niejako nałożone na klasyczny filtr pakietów (firewall), wzbogacony później o funkcje filtrowania ruchu w warstwie aplikacyjnej.

Rozwiązania NGFW wywodzą się z klasycznych zapór sieciowych, które z czasem przestały spełniać swoje zadania. Dlatego też dostawcy zaczęli dodawać do nich mechanizmy IDS/IPS oraz funkcje głębokiej inspekcji pakietów (deep packet inspection), czyli zaawansowane mechanizmy analizy pakietów działające w warstwie aplikacyjnej (siódmej) modelu OSI. Głęboka inspekcja pozwala identyfikować, klasyfikować, kierować i blokować pakiety na podstawie ich ładunku (payloads) oraz zawartości (data) pakietu, co w przypadku klasycznych filtrów, analizujących jedynie nagłówek pakietu, nie było wcześniej możliwe. Dobry NGFW potrafi na podstawie analizy ruchu kontrolować, prioryteryzować, blokować i kierować ruch użytkownika w warstwie aplikacyjnej. W praktyce pozwala to na odfiltrowania Facebooka lub tylko wybranych jego elementów (Messenger, wideo), dostępu do portali informacyjnych czy działania programów opartych na sieciach P2P (torrenty, Skype) na poziomie całych organizacji, grup użytkowników, a nawet pojedynczych pracowników. Nie byłoby to możliwe bez głębokiej analizy pakietów oraz integracji z usługami katalogowymi, przede wszystkim Active Directory, systemami kontroli dostępu RADIUS czy NAC/NAP.

Jak już zostało wspomniane, dostawcy UTM zaczęli implementować funkcje filtrów aplikacyjnych i IDS/IPS w swoich rozwiązaniach, a producenci NGFW włączyli do swoich „bram sieciowych” narzędzia zarezerwowane wcześniej dla UTM, takie jak moduły kontroli treści, AV czy filtry antyspamowe. Z perspektywy zadań, jakie mogą realizować systemy UTM i NGFW, różnice praktycznie nie istnieją, a więc tylko od dostawcy konkretnego systemu zależy, czy wskazana funkcja jest obsługiwana w danym urządzeniu, czy też nie.

Wydajność systemów

Pewne różnice można dostrzec, porównując wydajność systemów klasy UTM oraz NGFW rozumianą jako przepustowość (throughput), czyli poziom ruchu, jaki urządzenie jest w stanie obsłużyć dla konkretnego zastosowania (firewall, VPN, SSL). Eksperci i analitycy ds. bezpieczeństwa są zgodni co do tego, że rozwiązania UTM przeznaczone są dla rynku SMB oraz oddziałów dużych przedsiębiorstw, natomiast systemy NGFW znajdą zastosowanie w sieciach korporacyjnych i dużych centrach danych, gdzie wysoka przepustowość ma nadrzędne znaczenie. To oczywiście spore uproszczenie, oferta producentów obejmuje bowiem wiele modeli urządzeń skierowanych dla różnych grup klientów i różnych zastosowań.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej