| Infosecurity 1
18 | februari 2009
UTM-appliances scoren prima
Better safe
Een firewall is allang geen garantie meer voor een veilig netwerk. De meeste securityleve de UTM-appliance. Wij hebben er weer acht voor u getest. Johan Zwiekhorst
Geteste producten • Check Point UTM-1 570 • Fortinet FortiGate 310B • gateProtect GPA 400 • NETASQ U250 • phion M3 • SecPoint Protector P1000 • SonicWALL NSA 4500 • VASCO aXs GUARD Gatekeeper 3504
V
an firewall tot intrusion detection: om een netwerk afdoende te beveiligen, hebben we tegenwoordig minstens vijf of zes verschillende beveiligingsoplossingen nodig. Niet alleen kan dit de netwerkprestaties beïnvloeden – deze controles moeten tenslotte stuk voor stuk worden uitgevoerd – al die toestellen nemen ook behoorlijk wat bedrijfsbronnen in beslag, zowel in praktisch opzicht (ruimte) als in financieel opzicht (aankoop-, werkings-, licentie- en onderhoudskosten). Idealiter zijn al die aparte beveiligingsfuncties dan ook in één apparaat vervat. Dat is het geval bij
een Unified Threat Management (UTM)-oplossing. Helaas bestaat er nogal wat verwarring omtrent UTM-appliances. Veel bedrijven brengen een apparaat met een paar willekeurige beveiligingsfuncties op de markt en plakken er een grote UTM-sticker op. Hierdoor is het moeilijk om zeker te weten waarover het gaat als u een advertentie of folder ziet waarin een UTMappliance wordt aangeprezen: hebben we het nu over een gepimpte firewall of over een volwaardige allround beveiligingsoplossing? U zult dus goed moeten kijken naar de technische specificaties. Onze definitie is eenvoudig: een
Het Check Point SmartDashboard geeft een beveiligingsoverzicht
De Check Point UTM-1 570 is in essentie een firewall op steroïden
UTM-appliance bevat een bundeling van veiligheidsgebonden functionaliteiten. Een firewall en inhoudsinspectie zien we eigenlijk als de ondergrens. Bij voorkeur is het toestel tot meer in staat: inbraakdetectie en -preventie (IDS/IPS), antimalware, antiphishing, noem maar op. U kunt een UTM-appliance via het netwerk beheren. Dat gaat uiteraard alleen via de netwerkaansluiting voor het interne netwerk. Het beheer verloopt via de webbrowser of eventueel via speciale software. We hebben acht UTM-appliances voor grotere netwerken onderzocht: Check Point UTM-1 570, Fortinet FortiGate 310B, gateProtect GPA 400, NetASQ U250, phion M3, SecPoint Protector P1000, SonicWALL NSA 4500 en VASCO aXs GUARD Gatekeeper 3504. Daarbij hebben we gekeken naar de functionaliteit en de mogelijkheden van de appliance en het beheer. Met andere woorden, wat krijgt u voor uw geld? Met behulp van de IBM ISS Internet Scanner hebben we voor elk van deze appliances een scan uitgevoerd van zo’n 128 bekende kwetsbaarheden. Het goede nieuws is dat alle apparaten perfect scoren en geen enkele informatie vrijgeven over het binnennetwerk. Zo hoort het! Buiten de acht leveranciers die hier aan bod komen, hebben we ook contact opgenomen met IBM, WatchGuard en ZyXEL. Helaas reageerden zij te laat of gaven te kennen druk bezig te zijn met de ontwikkeling van een nieuw model. Check Point UTM-1 570 Check Point voert een hele serie UTM-1-appliances. Hoewel de firmware telkens identiek is, laten de diverse modellen uiteenlopende netwerkprestaties zien. In feite hebben we model 1070 getest, maar omdat de specificaties van model 570 beter
test
Infosecurity 1 | februari 2009 | 19
than sorry
ranciers hebben zich dan ook gebogen over de ontwikkeling van een allround beveiligingsapparaat:
passen bij deze test, hebben we die gebruikt voor de berekeningen in de prestatietabel. Met uitzondering van de prestaties is de 570 immers gelijk aan de 1070. De basisfunctionaliteit van de UTM-1 werkt via vier vaste netwerkpoorten. Normaal gesproken bevat het pakket een USB-sleutel waarmee de appliance snel teruggezet kan worden naar de fabrieksinstellingen. Bij ons testmodel ontbrak deze sleutel echter. Met een voor lokaal beheer ingestelde UTM-1 kunt u alle andere UTM1’s binnen een organisatie centraal beheren. Er is een webgebaseerde wizard voor de eerste configuratie, daarna gebruikt u het SmartDashboard en de diverse SmartConsoles (beheerapplicaties voor Windows). Via de query’s in de SmartView Tracker kunt u het hele netwerk ondervragen. Een uitermate krachtig
instrument dat bij geen enkele andere aanbieder hebben aangetroffen. Ook nuttig is de SmartMonitor, waarmee u bewakingsopdrachten kunt laten uitvoeren. De Check Point UTM-1 570 is in essentie een firewall op steroïden. U definieert policypakketten en maakt regels voor alle soorten netwerk objecten, -groepen en -structuren, met acties voor een of meerdere diensten tegelijk. Daarbij kunt u rekening houden met diverse soorten protocollen en verkeer, zoals VPN en QoS. Ook kunt u regels aanmaken voor SmartDefense, voor inhoudsinspectie en voor ‘messaging security’. Voor deze antispam- en antimalwarefunctionaliteit voor e-mail is wel een aparte licentie en een speciale versie van de diverse Smart-programma’s nodig. SmartDefense is de verzamelnaam voor alles wat maar met aanvallen en
Alle geteste apparaten scoren perfect en geven geen enkele informatie vrij over het binnennetwerk
signaturen te maken heeft: naast IPS ook antimalware en antihacking voor alle mogelijke protocollen en applicaties. De inhoudsinspectie controleert bepaalde protocollen en applicaties op malware. Daarvoor kunt u extra instellingen opgeven. Ook zit er een echt inhoudsfilter in, inclusief een op categorieën gebaseerd webfilter. Check Point biedt een bijzonder veelzijdige en krachtige UTM-appliance. Met de UTM-1 kunt u zeer ingewikkelde beveiligingsstructuren opzetten, die toch overzichtelijk gehouden worden via slimme objectkaarten met bijbehorende navigator. Fortinet FortiGate 310B De diverse FortiGate-appliances van Fortinet gebruiken in essentie dezelfde firmware. Het verschil zit ’m in de netwerkaansluitingen, de bandbreedte en de verwerkingssnelheid van het bijbehorende apparaat. De appliance kan als router of als transparante brug werken. Er zijn tien netwerkaansluitingen, waarvan de eerste standaard fungeert als poort voor het interne netwerk en de vierde als DMZ-aansluiting. Voor de FortiGate 310B geeft Fortinet een werksnelheid op van maximaal 12 Gbit/s voor de firewall en 9 Gbit/s voor het VPN, in combinatie met 850
De Fortinet FortiGate 310B kan als router of als transparante brug werken
Elk FortiGate-apparaat is te beheren via een zeer gebruiksvriendelijke webinterface
| Infosecurity 1
20 | februari 2009
De gateProtect GPA 400 is het kleinste model in een reeks van drie
De gateProtect-beheerclient toont in een schema welke netwerken verbonden zijn met welke netwerkpoorten
Mbit/s IPS- en AV-acceleratie. Fortinet wijst er nadrukkelijk op dat deze cijfers gelden voor effectieve werkbelastingen – draadsnelheden dus – en niet, zoals bij sommige concurrenten, voor speciaal voor de meting aangepaste belastingen. Verder valt er
is mogelijk overrides te definiëren voor beheerders of managers. Voor de verschillende ingebouwde inhoudsfilters kunt u zelf zoektermen definiëren, URL’s of IP-adressen blokkeren en ActiveX, Java en andere scripts en cookies filteren.
De Fortinet FortiGate 310B is een erg fraaie en goed uitgewerkte UTM-appliance weinig te kiezen bij deze appliance. De standaardlicentie omvat immers alle beschikbare beveiligingen. Een echt alles-in-een-apparaat dus. Elk FortiGate-apparaat is te beheren via een zeer gebruiksvriendelijke webinterface. Alle onderdelen zitten logisch in elkaar en de bediening van de diverse dialoogschermen is zo eenvoudig dat u ermee uit de voeten zou moeten kunnen zelfs als u vrijwel geen ervaring hebt met firewalls en dergelijke. Mocht u een groot aantal FortiGate-appliances in uw bedrijf (willen) hebben, dan is het centraalbeheersysteem FortiManager wellicht interessant. Fortinet gebruikt een eigen antimalware-engine. Het systeem zorgt voor volautomatische frequente updates van signatuurdatabases. Alle beveiligingen worden geactiveerd via een firewallreglement of policy. De beveiligingsinstellingen lopen via een wijzigbaar beschermingsprofiel. Het
Fortinet heeft ook eigen, op afstand te beheren filterdiensten waarvan de appliance gebruik kan maken, zoals de FortiGuard-webfilterdienst. Elk te controleren object wordt voorgelegd aan zo’n filterdienst en die geeft dan een ‘OK’ of ‘niet OK’ terug. Dit werkt op basis van objectcategorieën, waarbij u per categorie kunt aangeven of deze gewenst is of niet. De FortiGate 310B is een erg fraaie, goed uitgewerkte en gebruiksvriendelijke appliance. De webfilter blijkt niet helemaal waterdicht: we konden een blokkering omzeilen via de cache van Google. De andere beveiligingsmaatregelen werken zoals we dat mogen verwachten van een goede UTM-appliance. gateProtect GPA 400 Het van oorsprong Duitse gateProtect gebruikt af en toe nogal krom Engels. Zo zegt de appliance dat u om veiligheidsredenen beter niet via de lokale
console kunt inloggen. Maar als u dat toch wenst: “If you although want to login here...”. De gateProtect GPA 400 is een vrij grote vuurrode 19 inchkist van twee rekeenheden hoog. Aan de achterzijde zitten alle aansluitingen, waaronder zes netwerkaansluitingen die u naar believen kunt indelen. De GPA 400 is het kleinste model in een reeks van drie. Deze modellen gebruiken dezelfde firmware, alleen de prestaties verschillen. UTM-appliances heten bij gateProtect trouwens xUTM-appliances, waarbij die kleine x voor ‘extended’ staat. Dat verwijst naar de uitgebreide UTM-functionaliteit, die completer zou zijn dan bij de concurrentie. Zo is er een uitgebreide gebruikersauthenticatie (xUA) en een uitgebreid VPN (xVPN). De GPA 400 levert hoge beschikbaarheid met synchronisatie over verschillende kanalen en lastenverdeling op de gateway. Verder doet het kastje ook aan netwerkverkeersoptimalisatie (traffic shaping en QoS). Deze optimalisatie kan tevens worden toegepast in VPN-tunnels. Een individuele appliance beheert u met behulp van de Administration Client. Voor het centraal beheer van maximaal vijfhonderd UTM-appliances levert gateProtect een zogeheten Command Center. De Administration Client start met een gemakkelijke configuratiewizard. Het blijkt praktisch eerst de beginnerswizard
test
te doorlopen om achteraf alles naar wens aan te passen. Dit zorgt ervoor dat de appliance zo snel mogelijk werkt. De grafische interface van de beheerclient laat een schema zien van de netwerken verbonden met iedere netwerkpoort. Door op een poort te klikken, ziet u meteen welke
kingsprestaties van zo’n 850 Mbit/s, met maximaal 400.000 gelijktijdige TCP-verbindingen. De U250 heeft zes netwerkpoorten. De eerste daarvan is standaard voor het externe netwerk bedoeld, de tweede voor het interne netwerk en dus ook voor het beheer. In tegenstelling tot de meeste andere toestellen in deze test beheert
Het sterke punt van phion, het centrale beheer, komt vooral tot zijn recht bij bedrijven met veel appliances diensten of protocollen op deze poort worden aangeboden. De meeste beveiligingsinstellingen laden een nieuw venster met detailinstellingen. De interface beheerst naast het Engels ook het Nederlands, Frans, Duits en Italiaans. gateProtect hanteert een licentiesysteem waarbij u aangeeft welk soort beveiliging voor hoeveel gebruikers u wilt hebben. De mogelijke beveiligingsdiensten zijn: een virusfilter met HTTPS-scan, een spamfilter met realtime detectie en een inhoudsfilter. Hierin ook een webfilter, die overigens prima misleid kan worden via de cache van Google. De gateProtect GPA 400 werkt met een beheerclient, waar wij liever een webinterface zien. Dat neemt niet weg dat dit een van de gebruiksvriendelijkste oplossingen is die we onder ogen kregen. De ingebouwde webfilter schiet wat tekort, maar kan wel door uzelf bijgesteld worden. De andere filters blijken prima te werken, en ook de firewall en het VPN zijn van het hoogste niveau. Aanbevolen! NETASQ U250 Het productgamma van de Franse firma NETASQ bestaat uit UTM- en mailsecurityappliances. De UTM-appliances draaien in feite allemaal dezelfde firmware en kennen hetzelfde beheer – alleen de hardwareprestaties verschillen. De UTM-productreeks loopt van de U30, het allerkleinste model bedoeld voor het MKB, tot de machtige U450, die dezelfde functionaliteit tegen een continue doorvoersnelheid van 5 Gbit/s kan leveren. De U250, de kleinste van de drie middenklassers, is bedoeld voor iets grotere netwerken en levert verwer-
u deze UTM-appliance niet via een webinterface maar via een speciaal beheerprogramma. Deze NETASQ Unified Manager draait helaas alleen onder Windows. Wel kunt u er meerdere appliances mee beheren. Naast de eigenlijke beheerapplicatie bevat de beheersuite ook een
Infosecurity 1 | februari 2009 | 21
bewakingsclient (Real-Time Monitor) en een rapportageapplicatie (Event Reporter). Bij het opgeven van filterregels is het mogelijk tien filterslots per policy te definiëren, elk met eigen regels en tijdsinstellingen. Deze slots kunnen een prioriteit hebben. Bij de IPS-configuratie kunt u alle mogelijke acties en responses bekijken en zonodig wijzigen. De stateful inspectie van netwerkpakketten hoort hier ook bij. De inhoudsfilter verzorgt antispam, antivirus en URL-filtering. Behalve van zwartelijstservers op het internet maakt het antispamgedeelte ook gebruik van eigen zwarte en witte lijsten. Voor dit onderdeel zijn de instelmogelijkheden wel enigszins beperkt. De antivirusfunctie werkt samen met de proxyserverfuncties en controleert alles wat de appliance cacht
Naast de eigenlijke beheerapplicatie bevat de NETASQ-beheersuite ook een bewakingsclient
De NETASQ U250 werkt prima en is ook nog eens erg aantrekkelijk geprijsd
| Infosecurity 1
22 | februari 2009
De phion M3 draait onder phionOS, een eigen besturingssysteem op basis van een geharde Linux-kernel
Hoewel gebruiksvriendelijk vergt phiona, de beheerapplicatie van phion, flink wat technische kennis
dus ook op malware. Standaard is dat het geval voor POP3, SMTP en NNTP. Ook voor websurfen kunt u deze functie aanzetten, maar dat vertraagt de surfervaring natuurlijk nogal. NETASQ gebruikt ClamAV als antivirusmodule. Met een extra licentie kunt u ook kiezen voor Kaspersky Lab. De URL-filter werkt met categorieën en raadpleegt daarvoor een URL-databaseserver van NETASQ . Via de beheerinterface kunt u ook een alternatieve URL-database raadplegen. De NETASQ 250 werkt prima en biedt een gebruiksvriendelijke en
veelzijdige Windows-beheerapplicatie. Bovendien is deze Franse UTM-appliance ook nog eens erg aantrekkelijk geprijsd. Het hoeft dus zeker niet altijd Amerikaans te zijn. phion M3 Uit Oostenrijk komt de firma phion. Ook de UTM-appliances van phion leveren verschillende prestaties terwijl ze grotendeels gebruikmaken van dezelfde soft- of firmware. Een paar jaar geleden zei een vertegenwoordiger van phion ons dat phions beveiligingssystemen over het algemeen niet krachtiger, functioneler of goedkoper
zijn dan die van de concurrentie. Dat was eerlijk! Het echte sterke punt van phion schuilt in het centrale beheer, dat vooral tot zijn recht komt als een bedrijf over veel appliances beschikt. Voor deze test leende phion ons de M3, een UTM-appliance voor een paar honderd gebruikers met vier configureerbare Gigabit-netwerkpoorten, waarvan de eerste gereserveerd is als beheerinterface. Dat kunt u echter wijzigen. De appliances draaien onder phionOS, een eigen besturingssysteem op basis van een geharde Linux-kernel. Bovendien kunnen ze worden ingezet als STMP-relay, HTTP-proxyserver en DNS-server. Het lokale en centrale beheer gebeurt met een speciale beheerapplicatie genaamd phiona. Dat is een zogenaamde ‘portable Windows-
Eindscores Merk
Check Point
Fortinet
gateProtect
NETASQ
phion
SecPoint
SonicWALL
Vasco
Model
UTM-1 570
FortiGate 310B
GPA 400
U250
M3
Protector P1000
NSA 4500
aXs GUARD Gatekeeper 3504
Beoordeling (max. 100)
Weging
Algemeen
15%
32
34
44
34
57
98
19
88
Beveiligingsengine en database
17%
38
92
37
43
38
31
25
38
Antivirusmaatregelen
17%
30
30
35
90
90
70
50
35
Inhoudelijke controle, netwerk controle of sessiecontrole
17%
94
95
98
79
90
90
55
91
Beheer
17%
100
56
56
89
67
56
78
67
Rapportering
17%
45
95
25
80
45
20
85
35
Prestatiescore
70%
57
68
49
70
65
60
53
58
Score aanschafprijs (vergeleken met ‘ideale’ prijs)
15%
17
15
90
60
33
26
47
90
Score gebruikskosten (vergeleken met ‘ideale’ prijs)
15%
19
18
98
68
38
30
53
99
45
53
63
68
56
50
52
69
8
5
3
2 BEST
4
7
6
1 BEST
Prijs-prestatiescore Rangorde
test
application’: een programma dat u niet hoeft te installeren maar gewoon vanaf een opslagmedium (bijvoorbeeld een USB-stick) kunt starten. Phiona toont een typische Windowsinterface, met bovenaan een uitrolmenu en uiterst links een gekleurde balk met grote rubriekspictogrammen. Die hoofdrubrieken zijn op zich erg
komen, ook als u niet weet op welk IP-adres de appliance staat ingesteld. De overige netwerkpoorten kunt u naar eigen inzicht indelen. Een opvallend verschil met de andere UTM-appliances is dat de Protector P1000 router noch firewall is. SecPoint lijkt er van uit te gaan dat bedrijven met een internetaanslui-
Bij het starten van de SonicWALL NSA 4500 maken de vier ventilatoren een absolute rotherrie logisch ingedeeld. Handig is dat diverse instellingen standaard vergrendeld zijn. Wijzigingen worden pas van kracht als u ze doorstuurt naar de appliance en dan ook nog eens activeert. Tot dat moment kunt u een wijziging altijd nog terugdraaien. De phion M3 bevat VPN-technologie met onder meer AES 256-encryptie, inbraakpreventie en -detectie, bescherming tegen DoS- en DDoSaanvallen, bandbreedtebeheer en WAN-optimalisatie. Bovendien kan de appliance ook inhoudsbeveiliging met een spam- en webfilter uitvoeren. De webfilter blijkt vooral gericht op het onderscheppen van aanvalspogingen. We konden niet zo een-tweedrie een manier vinden om bepaalde webcategorieën uit te sluiten. Wellicht is daar een extra licentie voor nodig die ons niet geleverd werd. Voor het opzetten van VPN-tunnels biedt phiona een klik-en-sleepsysteem waarmee u het VPN-netwerk als het ware kunt tekenen. Met de M3 levert het phion een appliance met een enorme hoeveelheid beveiligingsinstellingen en -mogelijkheden, die dankzij het beheerprogramma phiona zowel lokaal als centraal goed onder controle gehouden kunnen worden. Hoewel gebruiksvriendelijk vergt de beheerapplicatie flink wat technische kennis. SecPoint Protector P1000 Het Deense SecPoint leverde ons de Protector P1000. Deze knalblauwe UTM-appliance heeft vier netwerkpoorten. Helemaal links ziet u een lcd-paneeltje met bedieningstoetsen dat u in principe zelden of nooit hoeft te gebruiken. De eerste netwerkpoort heeft een vast IP-adres. U kunt dus altijd bij de beheerinterface
ting deze functies al hebben ingevuld. Dat houdt in dat u dit apparaat inzet als inlinefilter. Standaard zijn slechts twee van de vier netwerkpoorten in gebruik. Poort C sluit u aan op de internetkant (liefst onmiddellijk na uw router) en poort D op het binnennetwerk. Daarna geeft u de appliance een adres in het netwerk, en het ding kan aan de slag. Naast antispam beschikt de Protector P1000 over volledige malwareon-
Infosecurity 1 | februari 2009 | 23
derschepping en inhoudsfilters voor mail- en webverkeer. SecPoint maakt gebruik van de gratis opensourceengine ClamAV. Die is echter niet zo goed en daarom kunt u ook kiezen voor een alternatieve engine van BitDefender, Kaspersky Lab of Norman. Los van het feit dat u ze kunt aan- of uitzetten, blijken veel van de beveiligingsopties niet instelbaar. Dat maakt het beheer natuurlijk supereenvoudig. Gewoon aanzetten en draaien maar. Omdat deze UTM-appliance gespecialiseerd is in inhoudsfiltering en geen firewall of router aan boord heeft, zijn er geen firewallregels te vinden. Nu zitten er wel bepaalde firewallfunctionaliteiten in, maar die hangen samen met de inhoudsfilters en het IPS. Zo is het bijvoorbeeld niet mogelijk zelf een DMZ en andere werkzones te definiëren. Overigens laat ook deze webfilter zich om de tuin leiden via de cache van Google. Omdat SecPoint ervan uitgaat dat de meeste bedrijven al een firewall en router in huis hebben, moet de
Het beheer van de Protector P1000 is erg eenvoudig: gewoon aanzetten en draaien maar
Een opvallend verschil met de andere UTM-appliances is dat de SecPoint Protector P1000 router noch firewall is
| Infosecurity 1
24 | februari 2009
Bij het starten van de SonicWALL NSA 4500 maken de vier ventilatoren een absolute rotherrie
De antiviruscontrole van SonicWALL werkt op twee niveaus: op de gateway en op de clients
Protector P1000 het zonder deze functies stellen. Op zich kunnen we deze redenering wel volgen. Toch zou het toevoegen ervan niet veel meer hoeven kosten. Bovendien zou dat de inzetbaarheid van deze appliance flink vergroten. De inhoudsfilters werken voorbeeldig en de spamfilter is zelfs uitstekend, maar de webfilter kan nog heel wat beter. SonicWALL NSA 4500 De NSA (Network Security Appliance) 4500 van SonicWALL is bedoeld voor middelgrote netwerken. Natuurlijk zijn er ook modellen voor kleinere en voor grotere netwerken.
Dit model kent zes netwerkaansluitingen die u naar hartenlust kunt indelen. Bij het starten laat het apparaat flink van zich horen: de vier aanwezige ventilatoren maken een absolute rotherrie. Gelukkig werken ze met temperatuurafhankelijke rotatiesnelheden zodat het lawaai snel afneemt. De NSA 4500 ondersteunt lastenverdeling en uitvalovername. De webinterface van de NSA 4500 heeft een vrij eenvoudige indeling. Naast de gebruikelijke instellingen is er een optie waarmee u netwerkpakketten kunt afvangen voor foutanalyse en probleemopsporing. Verder kunt u aparte instellingen opgeven
voor elk van de door u gedefinieerde groepen netwerkaansluitingen en uiteraard ook per gebruiker, per gebruikersgroep of voor bepaalde protocollen en diensten. Bij de inhoudsfilter kunt u kiezen tussen de filter van SonicWALL zelf of een filter van Secure Computing of Websense. De filter van SonicWALL werkt op basis van categorieën. Sites kunnen in een witte of zwarte lijst worden opgenomen. Er is een standaardfilter met 12 categorieën en een optionele Premium Business Editionfilter met 56 categorieën. De antiviruscontrole werkt op twee niveaus: op de gateway en op de clients. Voor beide kunt u regels opgeven. De gatewayantivirus- en gatewayantiparasietcontrole werken op bepaalde protocollen die u kunt in- en uitschakelen: HTTP, HTTPS, FTP, SMTP, POP3 en IMAP4. Kortom,
Productinfo Merk
Check Point
Fortinet
gateProtect
NETASQ
phion
SecPoint
SonicWALL
VASCO
Model
UTM-1 570
FortiGate 310B
GPA 400
U250
M3
Protector P1000
NSA 4500
aXs GUARD Gatekeeper
Berekende gebruiksprijs voor 250 eenheden (per eenheid per maand)
181,67
194
34,62
50,2
89,98
115
64,59
34,47
`Adviesprijs appliance (euro, excl. btw)
$ 10900
11640,00
1995,00
2999,00
5380,00
6900,00
3834,00
2000,00
Adviesprijs gebruikslicentie voor 250 eenheden (euro, excl. btw)
0,00
0,00
4110,00
640,00
940,00
0,00
2068,00
17000,00
12
12
12
Commerciële informatie
12
12
12
Leverancier
Avnet, Magirus, Westcon Security
Exclusive Networks
VibiT
Website: www...
checkpoint.com
fortinet.com
gateprotect.com
Tijdslimiet licentie (maanden)
TopIT Distributie, phion Nederland SecPoint NederComstor land
netasq.com
phion.com
secpoint.com
12
geen
e92plus, Tech Data, Westcon Security
e92plus
sonicwall.com
axsguard.com
Garantie (maanden)
36
24
24
12
12
24
12
12
Gratis updates eerste jaar na aanschaf?
Ja
Nee
Nee, alleen eerste maand
Nee, alleen eerste drie maanden
Ja
Ja
Nee, alleen gratis support eerste drie maanden
Ja
Foutmarge: 2 punten • ‘Ideale’ aanschafprijs: ¤ 1800,- • ‘Ideale’ gebruikskosten (per eenheid per maand): ¤ 34,-
test alle belangrijke internetapplicaties waarmee bestanden getransporteerd kunnen worden. Bij de gatewayantiviruscontrole kunt u bovendien CIFS/NetBIOS en TCP-stromen laten controleren. De e-mailfilter dient in feite voor het blokkeren van bepaalde extensies, ook in samenwerking met de antivirusmodule. Er is wel een spamfilter, maar die werkt alleen op basis van witte en zwarte lijsten (ook zwartelijstservers op internet). Dat is dus erg beperkt. De SonicWALL NSA 4500 heeft een vrij gebruiksvriendelijk beheer, werkt prima en biedt een uitgebreide func-
den. De hardware, die wel verschilt per model, bepaalt hoeveel verkeer u kunt ondersteunen. Omgevingen met minder dan twintig gebruikers zullen goed uit de voeten kunnen met de Office-oplossingen. Voor meer dan twintig gebruikers is er de Enterprise-reeks. Aan de top komen we eigenschappen tegen als high availability, RAID 1, tapeback-up en redundante voeding. In feite betaalt u alleen voor het toestel plus bijbehorende software – er zijn geen extra kosten aan verbonden. De enige uitzondering is dat er voor sommige diensten op de appliance
Van de acht UTM-appliances in deze test haalt de NETASQ U250 de hoogste prestatiescore tionaliteit. Ook hier konden we de ingebouwde webfilter weer omzeilen via de cache van Google. VASCO aXs GUARD Gatekeeper 3504 Het bedrijf VASCO, dat vooral bekend staat om zijn authenticatieoplossingen, nam niet zo heel lang geleden het Belgische bedrijf Able over. Daardoor kon het onder de naam aXs GUARD een nieuw productgamma aanbieden. Able blijft overigens bestaan als fabrikant van de aXs GUARD-appliances, maar verkoop, contacten en ondersteuning verlopen allemaal via VASCO. De diverse modellen beschikken over dezelfde software en mogelijkhe-
clientlicenties van derden nodig zijn. Een voorbeeld is de antivirusmodule: die maakt gebruik van een antivirusengine van Trend Micro, een producent die met clientlicenties werkt. U beheert de aXs GUARD volledig via een webinterface die toegang geeft tot een indrukwekkend veelzijdige functionaliteit. Die veelzijdigheid is te danken aan het feit dat het apparaat in de kern een authenticatieappliance is. De beveiligingsfuncties zijn optioneel en via standaardmodules direct aan te schaffen. Naderhand bijbestellen is natuurlijk ook mogelijk. Het apparaat kan zelfs als mail-, web- en faxserver worden ingezet. Het aantal netwerkkaarten kan variëren van twee tot zestien.
Infosecurity 1 | februari 2009 | 25
Conclusie
V
an de acht appliances in deze test haalt de NETASQ U250 de hoogste prestatiescore. Samen met de VASCO aXs GUARD is dit ook de beste koop. gateProtect krijgt met zijn GPA 400 een eervolle vermelding. Fortinet eindigt als vijfde omdat deze appliance in vergelijking met de rest erg duur lijkt. Bij aanschaf betaalt u namelijk het volle pond voor de gehele functionaliteit. Er zijn dus
geen prijzige opties en extra licenties achteraf. Vanaf het vijfde gebruiksjaar valt Fortinet daarom fors goedkoper uit dan de concurrentie: interessant om te weten. Check Point eindigt als laatste, maar dat heeft vooral te maken met de licenties van het bedrijf. In vergelijking met de concurrentie zijn die namelijk vrij prijzig. Qua functies en prestaties stelt de oplossing van Check Point ons zeker niet teleur.
De UTM-functionaliteit bestaat uit een geïntegreerde firewall, IDS en inhoudsinspectie voor e-mail (inclusief spamfilter) en opgevraagde webpagina’s. De firewall werkt met iptablesregels. Dat is de Linux-standaard: iptables hoort bij het netfilter-project in de Linux-kernel. Als u dus een bestaande firewall heeft die met iptables werkt, kunt u de regels gewoon overnemen in uw aXs GUARD. De VASCO aXs GUARD-oplossing werkt prima. Mooi is dat u kunt kiezen uit verschillende prestatiecategorieën. Mocht u na verloop van tijd een krachtiger apparaat nodig hebben, dan kunt u de boel upgraden naar een hogere prestatieklasse door alleen het prijsverschil bij te betalen. Aan de hand van een op macro’s gebaseerde spreadsheet ziet u zo wat u precies nodig hebt en hoeveel dat allemaal gaat kosten. •
De volledige test- en productrapporten zijn terug te vinden op www.infosecurity.net
De beveiligingsfuncties van de VASCO aXs GUARD zijn optioneel en via standaardmodules direct aan te schaffen
De webinterface van de aXs GUARD geeft toegang tot een indrukwekkend veelzijdige functionaliteit