راهنمای خرید معرفی سه فایروال با عملکرد متوسط

انتخاب یک فایروال مناسب مستلزم ارزیابی عوامل مختلف می باشد طبیعتا کاربران به دنبال فایروالی هستند که نصب و پیکربندی آسانی داشته باشد, ویژگی های امنیتی دیگر مثل برنامه های ضدویروس, ضداسپم و غیره را ارائه دهد و قیمت آن نیز مناسب باشد اما حتی اگر تمامی نیازهای ذکر شده در اینجا به وسیله فایروال مورد نظر شما رفع گردد تا زمانیکه این فایروال نتواند بالاترین سطح ترافیک شبکه تان را کنترل کند و نیز همزمان حملات خارجی را خنثی نماید, مناسب شما نخواهد بود

انتخاب یک فایروال مناسب مستلزم ارزیابی عوامل مختلف می‌باشد. طبیعتا کاربران به دنبال فایروالی هستند که نصب و پیکربندی آسانی داشته باشد، ویژگی‌های امنیتی دیگر مثل برنامه‌های ضدویروس، ضداسپم و غیره را ارائه دهد و قیمت آن نیز مناسب باشد. اما حتی اگر تمامی نیازهای ذکر شده در اینجا به وسیله فایروال مورد نظر شما رفع گردد تا زمانیکه این فایروال نتواند بالاترین سطح ترافیک شبکه‌تان را کنترل کند و نیز همزمان حملات خارجی را خنثی نماید، مناسب شما نخواهد بود.

من اخیرا فروشندگان دستگاه‌های فایروال در حد متوسط (محصولاتی که بین ۱۰۰۰۰۰ تا ۲۰۰۰۰۰ ارتباط هماهنگ و ۱۰۰۰ تا ۲۰۰۰ تونل VPN را پشتیبانی می‌کنند) را به آزمایش کارآیی در آزمایشگاه Spirent Communications PLC واقع در کالاباسای کالیفرنیا دعوت نمودم. در این آزمایشگاه ملزومات نصب، ویژگی‌های مختلف کارآیی و قابلیت‌های امنیتی سه محصول مورد آزمایش قرار گرفتند. این سه محصول عبارتند از: Edgeferee Accel از جانب شرکت Pro ۳۰۶۰ ،ServGate Technologies محصول شرکت Sonicwall و StoneGate SG-۵۰۰ محصول شرکت Stone soft. مجموعه‌های Reflector ۵.۲ و Avalanche ۵.۲ آزمایشگاه Spirent که بر روی سخت‌افزارهای Avalanche ۲۵۰۰ و Reflector ۲۵۰۰ اجرا می‌شد برای نشان دادن قابلیت‌های کارآیی هر فایروال همچون کارآیی در هنگام بارگذاری و حجم ترافیک در یک شبکه چند پروتکل مورد استفاده قرار گرفتند. در ضمن تعدادی حملات Reset ،Smurf ،Syn-DDoS و (ARP Flood (Address Resolution Protocol را نیز شبیه‌سازی کردم تا میزان موفقیت هر دستگاه در forward کردن ترافیک قانونی و همزمان محافظت در برابر هر حمله ارزیابی نمایم.

برای آزمایش کارآیی VPN از ژنراتور بارگذاری SmartBits ۶۰۰۰ و مجموعه آزمایشی Tera VPN ۴.۰ استفاده کردم تا بتوانم حداکثر توان عملیاتی در یک تونل site-to-site را اندازه گیری کنم. عبور دیتا در حداکثر تعداد تونل‌‌های VPN پشتیبانی شده هر دستگاه را نیز بررسی نمودم. در پایان آزمایشات مشاهده کردم که هیچکدام از سه دستگاه فوق تحت تاثیر حملات شبیه‌سازی شده قرار نگرفتند، این موضوع چندان هم تعجب برانگیز نیست چون این ویژگی یکی از ملزومات ضروری برای هر فایروال شرکتی می‌باشد. اما تفاوتهای عمده‌ای در کارآیی VPN وجود داشت و دو محصول ServGate و Sonicwall بهتر از محصول سوم عمل کردند.

در تولید Edgeforce از روش مبتنی بر ASIC (که بسیار مورد تحسین قرار گرفته) برای یک معماری ماجولار اجتناب شده زیرا داشتن حداکثر انعطاف پذیری برای دفاع در برابر حملات شبکه بسیار مهمتر از تواناییهای دیگر است. ماجول‌های افزودنی اختیاری به شما امکان می‌دهند تا توان عملیاتی فایروال Accel را از ۲۵۰Mbps به ۱Gbps رسانده و از قابلیت‌هایی همچون ذخیره‌سازی محتوای وب، Logging (ثبت) محلی، اسکن ویروس و فیلترسازی اسپم استفاده کنید. دستگاه Accel که من مورد آزمایش قرار دادم وظایف خود را در این موارد به خوبی انجام داد. این دستگاه که در یک رک ۱U نصب می‌شود یک نسخه سفارشی از لینوکس را بر روی پردازشگر پنتیوم سه، ۶۸۶ مگاهرتز اجرا می‌کند و از چیپ Broadcom برای پردازش رمزگذاری استفاده می‌نماید. Accel تنها دستگاهی است که از طرف ICSA تایید شده و اینترفیس‌های گیگابایت را پشتیبانی می‌کند. وظایف استاندارد مدیریت همچون پیکربندی سیاست‌های فایروال و طراحی اخطارهای پست‌الکترونیک به آسانی از درون پنجره‌های GUI انجام می‌شود. Accel از پروتکل‌ها و استانداردهای پیکربندی مختلف VPN پشتیبانی می‌کند و می‌توان سطوح مختلف QoS را در آن مشخص نمود. ServGate برای سهولت بخشیدن به مدیریت چند فایروال در سازمان‌های توزیع‌کننده به زودی کنسول مدیریت متمرکز خود به نام Global Manager را عرضه می‌کند. نرم‌افزار فوق در حال حاضر در دسترس نیست.در آزمایشات کارآیی، Accel از مشخصات خود که ۱۲۸۰۰۰ ارتباط همزمان بود بالاتر رفته و با رسیدن به ۱۳۱۰۰۰ ارتباط از میزان تعیین شده توسط خود شرکت فراتر رفت. این دستگاه در آزمایشات حداکثر ارتباط در ثانیه به دلیل قطع ارتباط در سرعت پیش فرض دچار مشکل شد. از آنجاییکه Accel سوکت ارتباطات را به مدت ۱۲۰ ثانیه بعد از بسته شدن ارتباط TCP باز نگهداشت نتوانست سرعت ارتباطات قدیمی را به حدی برساند تا تعدادی از تقاضاهای ارتباط جدید را نیز مورد پشتیبانر قرار دهد.

تحت این پیکربندی پیش‌فرض، دستگاه در میزان ۱۱۰۰ ارتباط در ثانیه و با فعال بودن سیستم شناسایی مهاجم و NAT مورد آزمایش قرار گرفت. ServGate اعلام نمود که وقتی زمان نشست TCP را به ۶۰ ثانیه کاهش داد و سیستم شناسایی مهاجم و نیز قابلیت NAT را غیرفعال ساخت، کارآیی فایروال به ۳۴۹۰ ارتباط در ثانیه افزایش یافت. گرچه SevGate ادعا می‌کند که Accel به همراه ماجول Performance می‌تواند از ۲۰۰۰ تونل VPN پشتیبانی کند اما من نتوانستم به دلیل محدودیت زمان آن را مورد ارزیابی قرار دهم. هیچیک از سه دستگاه دارای ابزارهای پرسرعت برای پیکربندی تعداد زیادی تونل نمی‌باشند اما من توانستم پیکربندی و پشتیبانی برای ۱۰۰۰ تونل را قبل از تمام شدن وقت در دستگاه Servgate مدیریت کنم.گرچه Accel اینترفیس‌های گیگابیت را پشتیبانی می‌کند، من توان عملیاتی تک تونل site-to-site را با استفاده از کارتهای ۱۰۰Mbps آزمایش نمودم. در اینجا با تعجب مشاهده کردم که سرعت توان عملیاتی دو طرفه به ۱۹۸Mbps رسید.

Pro ۳۰۶۰ در آزمایشگاه خوب عمل کرد وتوانست در آزمایش ۱۳۱۰۰۰ ارتباط همزمان به صورت مشابه با Accel عمل کند و به میزان چشمگیر ۴۷۵۰ ارتباط در ثانیه برسد. (سریعترین دستگاه در بین سه دستگاه فوق) دستگاه فوق تعداد کمتر از ۱۰۰۰ تونل VPN را پشتیبانی می‌کند. من توانستم دیتا را در ۹۹۳ تونل عبور دهم و در ۷ تونل اطلاعات تغییر شکل داده شد. توان عملیاتی دو طرفه Pro ۳۰۶۰ را برای تونل منفرد mbps ۷۳ site-to-site است. به طور کل مقیاس‌پذیری و کارآیی VPN محصول ۳۰۶۰ با مقیاس‌پذیری و کارآیی Servgate برابر نمی کند. اما این مسئله نباید موجب شود تا از دستگاه فوق که قیمت آن نصف قیمت ServGate است، اظهار ناخشنودی می‌کنیم.

ویزاردهای جدید Sonicwall روند نصب را بسیار آسان می‌سازند و کارهای خسته‌کننده‌ای مثل پیکربندی VPN و NAT را سهولت می‌بخشند. Pro ۳۰۶۰ دارای قابلیت safe mode نیز می‌باشد. قابلیت فوق به مدیران شبکه امکان می‌دهد تا پیکربندی‌ها را در ROM تهیه و ذخیره نموده و در صورت نیاز آنها را بازیابی کنند. در ضمن امکان بوت‌کردن پیکربندی‌های مختلف یا نسخه‌های firmware با انتخاب آنها از یک منو وجود دارد.سرویس‌های Pro ۳۰۶۰ شامل فیلترسازی محتوا و گزینه‌های پیشگیری از نفوذ و ضدویروس تقریبا مثل سرویس‌های Sevgate جامع و قابلیت‌های مانیتورینگ آن قابل اعتماد است. دستگاه Avping را که محافظت AV را تضمین می‌کند، اجرا می‌نماید و می‌تواند امضاهای AV جدید را در طی یک حمله به کار گرفته و اعمال کند.

یکی از نقاط ضعف دستگاه این است که چون حالت Transparent را پشتیبانی نمی‌کند یک سیاست NAT باید برای مرتبط ساختن تعدادی از آدرس‌های داخلی به پورت WAN پیکربندی شود. گرچه Sonicwall حمله Reset را با موفقیت خنثی نمود اما نتوانست آن را به درستی تشخیص دهد و آن را به عنوان یک حمله Sys flood شناسایی کرد.

اگر در جستجوی یک فایروال قابل مدیریت برای دفاتر راه دور هستید SG-۵۰۰ مناسب است. محصول فوق تا حدی گران قیمت اما برنده گروه (سه محصول آزمایش شده) است. SG-۵۰۰ فاقد سرویس‌های فیلترسازی محتوا، ضدویروس و غیره می‌باشد اما یک سرور مرکزی برای پیکربندی چند دستگاه از راه دور ارائه می‌کند. من StoneGate SG-۵۰۰-۱۰۰ با توان عملیاتی ۱۰۰Mbps را مورد آزمایش قرار دادم. مدل SG-۵۰۰-۵۰ با قیمت کمتر از توان عملیاتی ۵۰Mbps برخوردار است.

SG-۵۰۰ و مرکز مدیریت Stonegate از طریق یک تونل VPN ارتباط برقرار می کنند. پیکربندی‌های آماده بر روی سرور ایجاد و ذخیره شده و به دستگاه فرستاده می‌شوند. در آزمایشاتی که من انجام دادم به منظور پیکربندی SG-۵۰۰ آن را به وضعیت آغاز برگردانده و سپس مرحله پرس و جو (کوئری) درباره پیکربندی ذخیره شده را از سرور مدیریت اعمال کردم. کل این فرایند بیش از ۱۰ دقیقه طول نکشید. این کنسول مدیریت که می‌توانست پربارتر باشد از قابلیت‌های دیگری مثل مانیتور به کارگیری پردازشگر که دو محصول دیگر فاقد آن هستند، برخوردار است. ویژگی‌های SG-۵۰۰ بیش از آن که بتوان از یک راهکار دفاتر راه دور انتظار داشت قابل تنظیم به صورت دلخواه هستند. الگوهای پیکربندی به راحتی قابل تنظیم بوده و حذف قوانین توسط مدیران شبکه قابل پیشگیری است. عملکرد‌های logging شامل گزینه‌ای برای هیچ می‌باشد. در ضمن شما می‌توانید لاگ‌ها را به فرمت XML یا Comma-Separate Variable) CSV) خارج سازید و حتی با استفاده از Log Pruning Filter Manager لاگ‌های ناخواسته را پاک کنید.

در آزمایشات، StoneGate با ۱۱۰۰۰۰ ارتباط همزمان هم سطح رقبای دیگر عمل نمود اما درباره ارتباط TCP در هر ثانیه با ۱۸۴۰ ارتباط از دو محصول دیگر عقب ماند. از آنجاییکه SG-۵۰۰ برای یک دفتر محلی که تنها چند تونل site-to-site برای مرتبط ساختن کلاینت‌های IPsec دارد، طراحی شده، آزمایشات خود را کامل ساخته و ادعای شرکت مبنی بر پشتیبانی ۲۰۰۰ تونل IPsec همزمان را نیز مورد بررسی قرار دادم. در نهایت توانستم از طریق نصب چهار تونل Site-to-site با ۲۵۰ تونل IPsec دو طرفه در هر یک از آنها تعداد ۲۰۰۰ تونل IPsec یا ارتباط امنیتی ایجاد نمایم. هر سه محصول برای شرکت‌های متوسط بسیار مناسب هستند و Accel راهکار مناسبی برای VPN و حداکثر پهنای باند محسوب می‌شود. در ضمن این فایروال بیشترین سرویس افزودنی را ارائه می‌کند.

در صورتیکه به پهنای باند گیگابایت نیاز ندارید و کارآیی فایروال برایتان مهمتر از توان عملیاتی VPN می‌باشد بهتر است که از Sonic wall Pro ۳۰۶۰ استفاده کنید. ۳۰۶۰ ارتباط بیشتری در ثانیه را نسبت به ServGate پشتیبانی می‌کند و قیمت آن نیز بسیار کمتر است. Stone Gate SG-۵۰۰ از سرعت معادل دو محصول دیگر برخوردار نیست اما توانسته است در آزمایشات امتیاز کارآیی قابل قبولی به دست آورد. در ضمن نصب و مدیریت آن ساده‌تر از دو محصول دیگر است. SG-۵۰۰ حتی برای دفاتر بسیار شلوغ انتخاب بسیار خوبی محسوب می شود.

نویسنده: Alyson Behr

مترجم: مریم پویان‌پور