5.3.12

О реальной пользе UTM

Завязалась тут на днях у меня дискуссия с коллегами по поводу пользы UTM-решений. Казалось бы идея не имеет изъянов, т.к. действительно позволяет объединить в одной коробке сразу все востребованные функции защиты - межсетевой экран, IPS, VPN, антивирус, антиспам, URL-фильтрацию и т.д. Но как часто бывает, идея и практика - это две большие разницы. На практике очень мало кто реально включает все защитные функции сразу, ограничиваясь обычно классической триадой - МСЭ, VPN и IPS. И то, IPS часто все-таки выносят на другое устройство, которое стоит не в разрыв. Почему так? Почему потребители, платя деньги за дополнительные функции, все-таки не применяют их в реальной жизни?

Достаточно посмотреть всего лишь на один пример. Возьмем производителя Х, который предлагает UTM-решение. В рекламных материалах указана пропускная способность UTM-устройства "до 8 Гбит/сек в режиме межсетевого экрана". В принципе, ничего сверхестественного - все в пределах допустимого. Правда, и тут скрывается подвох, о котором мы поговорим завтра. Но вернемся к производительности UTM. Имея 8 Гбит/сек для МСЭ, можем ли мы рассчитывать, что такая же производительность будет и для всех остальных защитных функций? Увы. Производительность IPS составляет для этого устройства всего 800 Мбит/сек. Десятикратное падение. Если мы включим одновременно IPS и МСЭ, то производительность защитного устройства будет равняться минимальному из двух значений. Но и это еще не все.

Включаем антивирус и производительность падает еще вдвое - до 360 Мбит/сек. И то, в режиме потокового сканирования и для обычного ASCII-файла и не для всей базы сигнатур. Включаем антивирус в режим работы прокси и производительность падает до 150 Мбит/сек (а большие файлы в таком режиме и вовсе не обрабатываются).

К чему мы приходим в итоге? При включенном МСЭ, IPS и антивирусе в режиме прокси, производительность 8-мигигабитного UTM падает до 67 Мбит/сек. Так в чем тогда польза такого UTM? Не проще ли приобрести все эти решения по отдельности?

6 коммент.:

Mikhail Sergeev комментирует...

Алексей, вам ли не знать, что ниша UTM - это удалённые бранчи, где гигабитов и в помине не бывает? если у тебя канал в интернет 20 мбит/с, то отдельные FW, IPS, AV будут неконкурентоспособны в сравнении с UTM.

И ещё, цифрам производительности из даташитов (а тем более из брошюр) лучше не верить. Обычно их стоит делить на 10, в том числе у cisco :)

Евгений III комментирует...

А еще их удел небольшие организации, где одна железка на входе как бы защищает от всего и сразу.

HendeHog комментирует...

А вот тут уже надо смотреть по потребностям и ССВ.
Да и насчёт бранчей правда.

Сергей Борисов комментирует...

UTM как правило ставятся на границе с сетью Интернет. Мало у кого каналы в интенет больше 1 Гбит/c.
C другой стороны есть UTM которые заявляют гораздо большую производительность, например:

http://www.checkpoint.com/products/21400-appliances/

http://www.stonesoft.com/en/products/fw/appliances/fw-5201/Technical_details.html

Да и ваша новая cisco 5555-X.

Другое дело, что хотелось бы не гадать, а получать от производителя отчеты о тестировании устройств с максимальными опциями, с частью опций.

Taras Zlonov комментирует...

А зачем же включать инспекцию всего, что только можно, сразу для всего трафика? Правильной настройкой можно выполнять только необходимые проверки части трафика. К тому же, вовсе не факт, что при включении всех проверок суммарная производительность будет ниже минимально заявленной: во многих UTM давно стоят специализированные соцпроцессоры, каждый из которых отвечает за свои проверки, не нагружая центральный процессор.

vit комментирует...

Многое зависит от места установки UTM и самого UTM. Так некоторые терминируют на ней все подсети внутри филиала, создают максимальное количество DMZ, объявляют правила своей интеллектуальной собственностью. В результате 10GE L2 упирается в устаревший/недорогой МЭ, который является единственно разрешенным L3 устройством.Определяющим фактором выбора модели является цена, на которую соглашается заказчик, когда ему предлагают установить по МЭ на каждом объекте, да еще и не один раз.
Если же в МЭ присутствуют IPS, AV третьих производителей, то производительность понятно падает. У Palo Alto, например, все свое.
Реклама тут, сам не пробовал эти железки.
http://www.paloaltonetworks.ru/files/Flash_Demo/index.html
p.s.
Бандл cisco 5585-X с IPS почти $100k