Artykuł pochodzi z wydania: Czerwiec 2025
Ochrona brzegu sieci to podstawowe zadanie firewalla. Zapora sieciowa stanowi pierwszą linię obrony przed zagrożeniami płynącymi z różnych źródeł, a efektywność wykrywania i blokowania prób ataku często decyduje o ciągłości działania przedsiębiorstwa.
Minęło sporo czasu od naszego ostatniego testu rozwiązania security firmy WatchGuard. Niespełna 10 lat temu sprawdzaliśmy Fireboksa M300, czyli rozwiązanie będące ówczesnym odpowiednikiem modelu M390, który trafił tym razem na nasz stół testowy. Ostatnim razem zwracaliśmy uwagę na kompletność rozwiązania, będącego swego rodzaju kombajnem, oferującym niemal wszystkie dostępne technologie do ochrony ruchu sieciowego. Firebox M390 nie jest żadną nowością – minęły już niemal cztery lata od premiery produktu, choć akurat w kontekście funkcjonalności i skuteczności wykrywania zagrożeń parametry sprzętowe definiują jedynie wydajność. Poziom ochrony to domena oprogramowania.
> SPRZĘT I WYDAJNOŚĆ
WatchGuard Firebox M390 to urządzenie zamknięte w charakterystycznej, czerwonej obudowie 1U do montażu w szafie. Za łączność ze światem odpowiada osiem portów 1 Gbps RJ45. Na froncie obudowy znajduje się również dodatkowe gniazdo rozszerzeń, w którym można zamontować kilka typów kart rozszerzeń. Za ich pośrednictwem jest możliwe podwojenie liczby portów 1 Gbps, ale także zapewnienie komunikacji optycznej SFP/SFP+. Żaden z modułów nie oferuje dystrybucji zasilania PoE+. Co ciekawe, obudowa, jak również możliwości rozbudowy, współdzielone są z mniejszym modelem – M290. Różnica między nimi dotyczy wydajności, czyli podzespołów jak CPU i pamięć. Poza portami komunikacyjnymi znajdziemy również port konsoli oraz dwa złącza USB, które można wykorzystać chociażby na potrzeby zrzutu kopii zapasowej konfiguracji. M390 w pełnym trybie UTM charakteryzuje się wydajnością na poziomie 2,4 Gbps. W zależności od uruchomionych mechanizmów ochrony przepustowość ta będzie się zmieniała. W trybie samej zapory może wzrosnąć do 18 Gbps, zaś dla inspekcji ruchu HTTPS z włączonym IPS spada do 1,32 Gbps. Sam IPS z kolei pozwala osiągnąć do 3,3 Gbps, podobnie jak przepustowość AV 3,1 Gbps. Oczywiście wszystkie wartości katalogowe bazują na określonych wzorcach ruchu, nie zawsze oddających rzeczywistość. Inny istotny parametr wydajnościowy to przepustowość VPN. W tym przypadku można liczyć na 1,8 Gbps dla ruchu IMIX. Kontynuując przegląd parametrów wydajnościowych znajdziemy również informacje o maksymalnej liczbie równoległych połączeń na poziomie 4,5 mln oraz liczbie nowych połączeń wynoszącą 98 tysięcy. Urządzenie pozwala również na skonfigurowanie do 250 VLAN-ów, a także tuneli VPN. Parametry wydajnościowe pozycjonują M390 jako rozwiązanie do ochrony niedużych środowisk. Producent rekomenduje ten model do ochrony infrastruktur zawierających do 250 końcówek. Zapory można także konfigurować w klaster active-active oraz active-passive.
> MOŻLIWOŚCI
Urządzenia serii Firebox M to zapory oferujące komplet zabezpieczeń dla brzegu sieci. Pełna kontrola aplikacyjna, IPS, filtrowanie na podstawie geolokalizacji i adresów URL czy ochrona ATP, a także skaner antywirusowy to najważniejsze spośród dostępnych mechanizmów ochrony. Zestaw funkcji sieciowych również nie pozostawia wiele do życzenia. Zapora wspiera najpopularniejsze protokoły routingu dynamicznego, ale także funkcje SD-WAN. Z poziomu Fireboksa można także zarządzać punktami dostępowymi Wi-Fi. Wspomniana powyżej specyfikacja sprzętowa M390 sprawdzi się w większości firm małej i średniej wielkości, ale dobór konkretnego modelu to czynność wtórna. Najważniejsze, że dostępny wachlarz możliwości ochrony pozostaje na niezmienionym poziomie. W przypadku Fireboksa mamy do czynienia z dwoma sposobami zarządzania ruchem sieciowym – standardowymi regułami filtrowania ruchu na podstawie pakietów IP i nagłówków TCP/UDP oraz z wykorzystaniem proxy. W pierwszym przypadku, aby podjąć odpowiednią akcję, wystarczy dopasowanie na podstawie TCP/UDP. Stosowanie proxy pozwala na głęboką inspekcję pakietów, gdyż – oprócz danych zawartych w nagłówku – analizowana jest również zawartość payloadu pod kątem zagrożeń. Domyślnie administrator, tworząc kolejne reguły, może wybrać spośród predefiniowanych filtrów oraz ustawień proxy. W przypadku rozwiązań Watch-Guarda wokół ustawień reguł proxy odbywa się definiowanie większości mechanizmów bezpieczeństwa. Firebox wspiera budowanie zasad proxy dla następujących protokołów: DNS, FTP, H.323, HTTP, HTTPS, IMAP, POP3, SIP oraz SMTP. Poza tym dostępne jest też proxy dla TCP-UDP – chroniące ruch wychodzący bez względu na protokół warstwy wyższej. Oznacza to, że chronione są także wcześniej wymienione protokoły również działające na niestandardowych portach. Firebox może też pełnić funkcje standardowego web proxy dla ruchu wychodzącego. Z regułami proxy związane są również odpowiednie akcje, będące w praktyce grupą ustawień charakterystycznych dla danego protokołu. Domyślnie dostarczona jest predefiniowana lista akcji dla każdego z nich, którą można zmieniać w zależności od własnych preferencji.
[…]
Marcin Jurczyk
Autor pracuje jako architekt IT w firmie Kyndryl. Zajmuje się infrastrukturą sieciowo-serwerową, wirtualizacją infrastruktury i pamięcią masową.
