Časopis Upgrade IT! č.2/2005 v listopadu publikoval recenzi na firewall Juniper NetScreen-5GT.

Hořící zeď aneb Vše pro firmu
Firewall Juniper NetScreen-5GT: řešení pro malé a střední firmy
Martin Jurica

Hardwarový firewall patří dnes k „povinné“ výbavě každé větší sítě, a výrobci se proto předhánějí, aby právě ten jejich měl co nelepší poměr cena/výkon a přinášel pokud možno všechny novinky posledních měsíců. V dnešním testu jsme se podívali na firewall společnosti Juniper – NetScreen-5GT (NS-5GT).

Vzhledem velice kompaktní zařízení, které nijak nevybočuje z řady ostatních hardwarových firewallů, ukrývá několik překvapení. Krom obvyklé výbavy portů (viz tabulka), rozdělených klasicky na jeden Untrusted (vnější) a čtyři Trusted (vnitřní), najdeme ještě port RS-232 pro modem, který může sloužit jako záložní připojení k internetu. Je zde také nezbytný reset na tovární nastavení (v případě zapomenutého hesla apod.), který však nestačí stisknout jednou, ale dvakrát v určených intervalech (doporučuji prostudovat manuál, vyhnete se zbytečným problémům…). Stavové diody na přední straně dodržují klasické rozmístění. Celkově působí NetScreen bytelně zejména díky kovovému šasi a hmotnosti 0,7 kg. Tolik k vnějšímu vzhledu, podívejme se, co je uvnitř.

Výborný hardware
NS-5GT je určen pro segment SMB, tedy pro menší a střední firmy. Hardwarová výbava je však o třídu výše. Paměť 128 MB RAM a jádro ASIC dávají firewallu skutečně impozantní výkon. Vzhledem k omezení na 10 současně obsluhovaných IP na vnitřní síti a 2000 aktivních spojení se může zdát tak výkonný HW zbytečným luxusem. Důvod zde však je, je jím zajímavá licenční politika: pouhým zadáním kódu můžete model 5GT upgradovat na verzi Plus nebo Extended, která je již bez omezení uživatelů a podporuje až 4000 spojení (další rozdíl spočívá v počtu podporovaných VPN – 10 u základní verze a 25 u Extended). Nejvyšší varianta navíc podporuje HA, tj. High Availability (NSRP Lite). Vraťme se však k základní verzi. Díky použitému hardwaru udávaná maximální propustnost dosahuje 75 Mb/s a při použití zabezpečené VPN až 20 Mb/s, nám se tyto hodnoty ověřit nepodařilo, protože se u nás internetová připojení pohybují v řádově nižších hodnotách.

Firewall plus IDS
Srdcem tohoto přístroje je standardní stavový firewall, doplněný o IPS (systém detekce narušení; viz článek o základech bezpečnosti na str. XXX), který pracuje na bázi porovnávání se vzory a na základě protokolových anomálií. Chrání tak proti známým typům útoků (IP spoofing, DoS atd.) a o případném narušení informuje pomocí e-mailu nebo SMNP (které je zde bohužel jen ve verzi 2). Databáze vzorů pravidelně updatuje přes on-line aktualizační systém, takže se nemusíte bát ani nových typů útoků. Za pozornost také stojí implementované QoS (řízení kvality služby), které pracuje velmi spolehlivě a díky tomu, že se nastavuje ručně (pro každé pravidlo definujete minimální a/nebo maximální šířku pásma), můžete je vyladit přesně podle svých potřeb. Také samotné konfigurační rozhraní si zaslouží pochvalu – velice přehledné a rychlé webové rozhraní je jedním z nejlepších, co jsme zatím viděli. Navíc je k dispozici rychlý průvodce nastavením, takže prvotní konfigurace zabere několik minut. Konfiguraci lze provádět také přes SNMP, NSM a příkazovou řádku (konzola, SSH nebo Telnet).

Integrovaný firewall
Co se týče podpory VPN, máte na výběr ze tří možností: IPSec, L2TP a L2TP-over-IPSec. Námi testovaná IPSec pracovala bez chyb a rychlost neklesala ani při použití některého z podporovaných kryptovacích mechanismů (k dispozici je DES, 3DES a AES). U VPN se však objevuje jedno zajímavé chování: zdá se, že NS-5GT navazuje při IPSec separátní session pro každou dvojici komunikujících zařízení místo jednoho trvalého tunelu. Teoreticky by tak mohlo docházet k snižování výkonu, nicméně vzhledem k hardwarové konfiguraci NetScreenu je to skutečně jen teoretická slabina.
Podporována je také přímá integrace s antivirem, v tomto případě od společnosti Trend Micro. Kontrolována tak může být přímo na firewallu komunikace na základních „nebezpečných“ protokolech – HTTP, FTP, POP3 atd. K dalším rozšířením patří funkce aplikační brány, kde lze provádět kvalitní filtrování obsahu a zakazovat i jednotlivé URL.
Celkově je náš dojem z recenzovaného řešení velice příznivý. Každý firewall pochopitelně stojí a padá na svém nastavení, to je však u tohoto produktu velmi rozsáhlé. Stejně tak široká paleta podporovaných protokolů a funkcí a kvalitní VPN. Velice nás také zaujala hardwarová konfigurace, takže jej neváháme doporučit i pro středně velké podniky. Dle vyjádření výrobce by jeho výkon měl postačovat i pro sítě s 60 stanicemi (od verze Plus). Kvalitní QoS a IPS jsou dalšími důvody k volbě NetScreenu-5GT.

Tabulka parametrů:
Vlastnosti
Firewall, DHCP, NAT, VPN, PAT, ARP, IDS
Protokoly
TCP/IP, UDP/IP, L2TP, ICMP/IP, IPSec, PPPoE
Kódování
DES, 3DES, MD5, AES, IKE, SSL, SHA-1
Router
OSPF, RIP-2, BGP, static IP routing
Možnosti autentizace
SecurID, RADIUS, X.509
Rozhraní
1× WAN – Ethernet 10Base-T/100Base-TX – RJ-45
4× LAN – Ethernet 10Base-T/100Base-TX – RJ-45
1× konzola – RS-232 – 9pinový D-Sub (DB-9)
1× modem – RS-232 – 9pinový D-Sub (DB-9)

Cena: podle konfigurace

Produkt k testování dodala společnost: VUMS DataCom, spol. s r.o.,
Rozšířená 15, 182 00 Praha 8