Ищем замену Forefront TMG: Sophos UTM

Все статьи

В 2010 году компания Microsoft сняла с производства Forefront Threat Management Gateway 2010 (TMG), не предложив в качестве полноценной замены ровным счётом ничего. Пользователям, традиционно предпочитавшим продукты от Microsoft, пришлось искать равноценную замену.

В течение длительного времени не утихали дебаты о том, может ли Microsoft Unified Access Gateway (UAG) служить полноценной заменой снятому с производства TMG. Конец дебатам положила сама компания Microsoft, объявив о снятии с производства и этого продукта с 1 июля 2014 года. Теперь даже самым лояльным клиентам компании волей-неволей придётся переходить на продукт стороннего разработчика.

Одной из таких альтернатив является продукт Sophos UTM. Компания-разработчик сознательно позиционирует продукт как полноценную замену снятому с производства Microsoft TMG. Является ли Sophos такой заменой? Давайте рассмотрим продукт подробнее.

Sophos UTM - полноценная замена TMG?

Компания Sophos – известный разработчик антивирусных продуктов. В 2009 году Sophos расширила рамки своей деятельности путём поглощения компании Astaro, разрабатывающей продукты для защиты сетей и управления внешними угрозами - Unified Threat Management или UTM. Как оказалось, сделано это было очень вовремя. Буквально через год компанией Microsoft было объявлено о прекращении развития Forefront TMG, что дало Sophos шанс занять наметившуюся нишу. И компания активно воспользовалось этим шансом. Продукт поглощённой компании Astaro был доработан и позиционирован в качестве прямой замены для Forefront TMG.

В этой статье мы рассмотрим возможности системы, подробно останавливаясь на таких важных возможностях, как работа брандмауэра, система предотвращения вторжений, работа в качестве прокси т.д.

Sophos UTM: унифицированная системе управления угрозами

Название UTM – сокращение от Unified Threat Management System, или «унифицированная система управления угрозами». И в самом деле, в состав Sophos UTM входят все модули, необходимые для полноценной защиты корпоративной сети от исходящих из внешнего мира угроз. В состав Sophos UTM входят встроенный брандмауэр, IDS/IPS, прямой и обратный прокси с аутентификацией, защита от вредоносных программ и спам-фильтр. В состав системы входят такие компоненты, как пользовательский портал, приложения для обеспечения безопасности VPN, Web, беспроводных сетей Wi-Fi и электронной почты. Этот далеко не полный список уже производит впечатление. А как это всё работает на практике, может ли Sophos UTM заменить собой Forefront TMG и насколько полноценной будет такая замена? Рассмотрим вопрос с самого начала.

Лицензирование

В отличие от Forefront TMG и множества продуктов, позиционирующихся как его замена, Sophos проводит весьма гибкую лицензионную политику. При заказе системы можно выбрать аппаратную или программную лицензию, выбрать необходимые модули поштучно или заказать одну из готовых конфигураций. В зависимости от бюджета вашей организации, вы сможете как возвести универсальную защитную систему «всё в одном», так и сконфигурировать самые необходимые модули, выбрав базовый уровень защиты.

Установка

Способов установки Sophos UTM несколько. Пожалуй, наиболее простым способом является заказ аппаратной установки – фактически, компьютера с предустановленной системой. Если вы не хотите возиться с установкой, но желаете использовать один из имеющихся в вашей компании серверов – можно заказать виртуальную машину, которая также несёт предустановленную систему Sophos. Наконец, вы можете самостоятельно установить и сконфигурировать Sophos UTM на выделенном физическом или виртуальном сервере (Hyper-V, VMWare или любой из множества поддерживаемых платформ виртуализации).

Поскольку Forefront TMG работал на программном уровне, то в нашей статье мы рассмотрим вариант установки Sophos в качестве программной платформы.

Итак, нужная конфигурация выбрана. В программной конфигурации система поставляется в виде загрузочного образа в формате ISO. При установке Sophos UTM на выделенный сервер систему можно записать на DVD, но нам не потребовалось делать даже этого: образ диска был смонтирован в виртуальной машине, после чего виртуальная машина была с него загружена. Для наших экспериментов мы выбрали виртуальную машину Hyper-V.

Установка прошла быстро и без неожиданностей. В процессе установки система разбила диск нашей виртуальной машины на разделы (соответственно, если бы мы устанавливали систему на выделенный сервер, старая операционная система была бы перезаписана). На выбор было предложено два варианта ядра: 32- и 64-разрядное. Мы выбрали 64-разрядное ядро.

По завершении установки потребовалось настроить внутренний NIC-адаптер, указав его IP адрес, сетевую маску и шлюз по умолчанию. На последнем перед перезагрузкой шаге было показано окно с подсказкой, как открыть интерфейс для настройки и конфигурации системы. Здесь всё просто: конфигурирование осуществляется через веб-интерфейс, доступный по ссылке вида https://ваш-IP-адрес:4444.

После перезагрузки сервера остаётся ещё несколько действий, которые нужно проделать в веб-интерфейсе.

На следующем шаге нужно установить имя хоста и адрес сервера Sophos UTM, ввести административный пароль и email-адрес.

Далее идёт текст лицензионного соглашения, с которым требуется согласиться, после чего нужно либо загрузить файл с вашей лицензией (определяющей, какие возможности продукта будут доступны для использования) либо воспользоваться возможностью запустить продукт в пробном режиме (ограниченном по времени использования).

Нужно отметить, что расширить возможности вашей копии Sophos очень и очень просто: достаточно приобрести и загрузить в систему новый файл лицензии, и недоступные ранее возможности системы откроются для использования.

На следующем шаге мастера установки вам нужно будет настроить собственно систему безопасности. Нужно выбрать внутренние и внешние интерфейсы и выбрать шаблон правил, применимых к пользователям внутри сети. Доступны шаблоны, ограничивающие доступ внутренних пользователей в Интернет только просмотром веб-страниц; есть шаблоны, разрешающие или запрещающие чаты, использование систем мгновенного обмена сообщениями, файлообмен и т.п.

В зависимости от сетевых настроек, вам нужно будет выбрать шаблон политик IPS. Доступны шаблоны, обеспечивающие безопасность различных компонентов сети от конкретных типов атак. К примеру, есть шаблоны, обеспечивающие безопасность систем под управлением Windows или Linux, веб-серверов и т.п.

Далее требуется указать, будет ли UTM отвечать на запросы ICMP, активировать или дезактивировать видимость по сети, настроить защиту от вредоносных программ и сканирование определённых видов трафика; указать категории URL-адресов для блокирования, активировать или дезактивировать защиту от спама и фильтрацию почты по протоколам POP3 и SMTP.

После настройки всех пунктов выведется последнее окно, в котором будет отображена настроенная ранее конфигурация. Нажатием кнопки Finish эти настройки будут активированы.

После того, как настройки будут активированы, вы попадёте в главное меню веб-интерфейса. На данном этапе система Sophos UTM уже активирована и полностью работоспособна.

Установка Sophos UTM мало отличается от установки Forefront TMG. Если у вас есть опыт установки TMG, проблем с установкой Sophos UTM у вас не возникнет.

Веб-интерфейс

Sophos UTM удобно управляется через веб-интерфейс. Это означает, что вам не придётся возиться с установкой расширений MMC на каждой рабочей станции, с которой требуется доступ к настройкам Sophos UTM. Для управления системой достаточно зайти на адрес сервера Sophos UTM (по умолчанию это 4444-й порт, https://IP-адрес-сервера:4444) с любого компьютера или устройства, оснащённого веб-браузером. Защита от несанкционированного доступа обеспечивается административным паролем, который настраивается при установке системы.

Веб-интерфейс выдержан в строгом стиле, граничащем со здоровым минимализмом. Отсутствие разного рода интерактивных надстроек не только радует глаз системного администратора, но и позволяет управлять системой даже с самых простых устройств, планшетов и телефонов. Пожалуй, единственное исключение – график работы брандмауэра, который обновляется в реальном времени.

Как видно, интерфейс сильно напоминает таковой у стандартного аппаратного роутера или брандмауэра. Если подумать, это логично – ведь Sophos UTM доступен не только в виде программной установки, но и в качестве выделенного устройства.

Управление отлично стандартизовано. Все окна, меню и диалоги не только выдержаны в едином стиле, но и последовательны в использовании наименований и взаимного расположения элементов управления. Это говорит о высоком профессионализме разработчиков системы, ведь пользоваться таким стандартизованным интерфейсом очень и очень удобно после предельно короткого периода обучения.

В интерфейсе Sophos UTM доступно некоторое количество графиков, обновляемых в реальном времени. Эти графики отображают работу брандмауэра и других подсистем, позволяя опытным и начинающим администраторам получить представление о текущем состоянии дел системы буквально с одного взгляда.

Интерфейс Sophos UTM оставил самое приятное впечатление. Пожалуй, он даже более удобен, чем интерфейс Forefront TMG.

Одной из особенностью веб-интерфейса Sophos UTM является время по умолчанию, в течение которого текущая сессия остаётся активной. По умолчанию, через 5 минут отсутствия активности, система осуществляет выход администратора из веб-интерфейса. Если этого времени вам не достаточно, то перед началом настройки Sophos UTM его можно увеличить до любой приемлемой величины.

Функционал Sophos UTM

В этой главе будут описаны функциональные возможности Sophos UTM – маршрутизация, фильтрация, работа прокси, аутентификация, поддержка почты и VPN, проверка трафика на вредоносный код и фильтрация почтового спама.

Брандмауэр

Настройка брандмауэра Sophos UTM мало отличается от настройки Forefront TMG. Брандмауэр настраивается через веб-интерфейс с использованием правил брандмауэра.

Для создания нового правила нужно указать один или несколько источников (IP-адресов, сетей или групп пользователей); указать протоколы (объекты) и назначения (ими могут быть IP-адреса, сети или группы пользователей). Далее указывается действие, разрешающее или запрещающее настроенный вид активности. Можно даже настроить время, в течение которого указанный вид деятельности будет разрешаться или запрещаться.

При создании нового правила брандмауэра, доступные опции выбираются из списка готовых объектов. Разумеется, вы можете создать новый объект перед тем, как его выбрать. Кстати, этот подход также напоминает реализацию в Forefront TMG.

При необходимости диагностики того, как работает вновь созданное правило, для каждого правила вы можете включить опцию записи в лог. При этом создается лог-файл, очень похожий на тот, что создаёт TMG.

Как мы видим, настройка брандмауэра в Sophos UTM сознательно выполнена в стиле Forefront TMG. Несомненно, это сделано для облегчения жизни сетевых администраторов, мигрирующих с TMG на Sophos UTM. Тем не менее, в Sophos UTM доступны и некоторые новые настройки, которых не было в Forefront TMG. Эти настройки – блокирование трафика из отдельных стран и ICMP.

Блокировка трафика по странам: Country Blocking

Данная опция позволяет разрешать или блокировать трафик, источник которого находится в одной из перечисленных администратором стран. Страна определяется по базе данных GeoIP. В стандартной поставке Forefront TMG не было ничего подобного, хотя продвинутые администраторы и могли самостоятельно создать такое правило. Блокировка трафика по странам позволяет укрепить безопасность системы, улучшить защиту от вредоносного кода и фильтрацию по URL.

Контроль ICMP

Контроль ICMP трафика позволяет настраивать, как Sophos UTM будет реагировать на запросы ping, traceroute, lookup, сканирование портов и т.п. ICMP трафик контролируется на уровне отдельных пакетов. Брандмауэр может быть настроен таким образом, чтобы отвечать, перенаправлять или игнорировать запросы в зависимости от свойств пакета. С помощью этой настройки можно гибко управлять тем, какая именно информация о вашей сети будет доступна для внешнего мира.

Маршрутизация

В Sophos UTM доступна статическая и динамическая (OSPF и BGP) маршрутизация, а также маршрутизация, базирующаяся на политиках. Для всех вариантов маршрутизации доступна поддержка IPv6, которая настраивается в отдельном меню.

В сравнении с Forefront TMG, в Sophos UTM отсутствует поддержка RIP. С другой стороны, в Sophos UTM присутствует поддержка динамической маршрутизации, которой не было в TMG.

Статическая маршрутизация

Статическая маршрутизация настраивается очень просто. Достаточно указать, какая сеть или какой объект должны быть доступны через указанный интерфейс, в случае необходимости – указать метрику.

Интересной особенностью Sophos UTM является возможность создавать «глухие» маршруты (Blackhole), позволяющие «занулять» некоторые типы трафика. Пакеты с таким маршрутом будут удалены с причиной «No route to host» ещё до того, как достигнут основного брандмауэра. Такая маршрутизация позволяет сэкономить процессорное время на обработке правил брандмауэра, и может использоваться для подавления DoS-атак с хоста и иных подобных случаев.

Маршрутизация, основанная на политиках

Настройка маршрутизации, основанной на политиках, очень похожа на настройку статической маршрутизации. Указывается, какие типы трафика и к какой точке назначения должны маршрутизироваться на основании исходной сети, протокола, сети назначения и интерфейса, на который прибыл пакет. На основе этих исходных данных создаётся статический маршрут с использованием тех же объектов.

Динамическая маршрутизация

Динамическая маршрутизация включается на первой странице меню. Для активации динамической маршрутизации требуется определить хотя бы одну зону. Нужно указать ID зоны, тип аутентификации и «стоимость». Также указывается интерфейс перенаправления и виртуальные связи, которые могут быть активны в данной зоне. Также можно определять, какие маршруты будут перенаправлены и будет ли система предлагать статический путь по умолчанию.

После определения зоны можно вернуться на первую страницу меню и включить маршрутизацию OSPF.

Маршрутизация BGP включается подобным образом. Перед активацией маршрутизации BGP требуется настроить хотя бы одного «соседа», указав имя, IP адрес, AS номер и тип аутентификации. Также можно указать фильтр и карты маршрутов.

При настройке фильтров и карт маршрутизации потребуется ввести имя и метод определения (IP адрес либо номер AS) для определения типа трафика, к которому применяется фильтр или карта. Также нужно будет указать сети, к которым будут применяться фильтр или карта маршрутизации. Список фильтров настраивается гораздо проще: достаточно выбрать действие (разрешить или заблокировать).

NAT

Разумеется, в Sophos UTM доступна функция NAT. С помощью шлюза NAT осуществляется трансляция внешних IP адресов во адресное пространство внутренних сетей. В Sophos UTM доступно два режима NAT: динамический («маскарад») и статичный (NAT). Динамические правила создаются указанием внутренних сетей, выбором внешнего сетевого интерфейса и определением внешнего IP адреса.

Для настройки NAT доступны следующие варианты:

  • Трансляция адресов исходных сетей Source Network Address Translation (SNAT)
  • Трансляция адресов сетей назначения Destination Network Address Translation (DNAT)
  • Полный NAT (комбинация SNAT и DNAT)
  • Отображение NAT 1:1, при котором адресное пространство одной сети полностью отображается на адресное пространство другой в режиме 1:1
  • Без NAT

Интересным режимом является «без NAT». В этом режиме возможна сквозная передача трафика VPN.

Другой интересной возможностью является возможность автоматической генерации правил брандмауэра на основе правил NAT.

Protocol Independent Multicast Routing и IGMP Snooping

В Sophos UTM поддерживается маршрутизация методом Protocol Independent Multicast Routing с полной поддержкой IGMP snooping. Для настройки нужно выбрать интерфейс, указать разрешённые версии IGMP, настроить Rendezvous Point и маршруты PIM-SM. Всё это позволяет направлять потоки многоадресного трафика.

Мосты

Sophos UTM может выступать в роли моста. В этом режиме Sophos UTM работает в качестве коммутатора с поддержкой STP. Доступна возможность переадресации вещания ARP. В этом режиме Sophos UTM становится полностью прозрачным с точки зрения протокола 3 уровня, позволяя осуществлять базовую фильтрацию на более низком уровне. Для этого политики брандмауэра настраиваются для объектов 2 уровня.

Аутентификация

Sophos UTM поддерживает аутентификацию через Active Directory, поддерживает LDAP, Novell eDirectory, RADIUS и TACACS+. При этом в Sophos UTM используется чрезвычайно интересный подход к аутентификации. В Sophos UTM, аутентификация происходит по сценарию сличения имени пользователя и IP адреса. В данной системе нет места «пользователям» в традиционном смысле слова. В Sophos UTM, «пользователем» является регулярный объект IP – точно так же, как сети или хосты.

В результате использования этой модели аутентификации возникает ряд интересных последствий. Положительным результатом использования этой модели является возможность подстановки группы пользователей в тех случаях, где обычно требуется настраивать сеть. В свою очередь, это позволяет сделать все возможности основанными на ролях, что предоставляет администраторам широчайшие возможности.

Чтобы не быть голословными, приведём пример. Одним из стандартных решений настройки брандмауэра является предоставление доступа к внутренней сети определённым пользователям. С использованием схемы аутентификации Sophos можно настроить политику брандмауэра таким образом, что на основе учётных данных пользователя будут на лету создаваться прямые статические маршруты к сетям, минующие брандмауэр для повышения производительности. Другой пример – возможность создания узкоспециализированной политики брандмауэра для единичного пользователя, разрешающий (или запрещающей) доступ к определённым ресурсам.

Если новая схема аутентификации так хороша, почему ей не пользуются другие разработчики? У такой модели есть и оборотная сторона. При настройке правил брандмауэра требуется иметь в виду особенности данной схемы аутентификации.

К примеру, требуется настроить доступ к внутреннему депозитарию кода для всех членов группы «Разработчики», работающим из подсети «Сотрудники». В TMG это просто: достаточно создать правило, разрешающее доступ к депозитарию кода из подсети «Сотрудники» с указанием группы пользователей «Разработчики». В Sophos UTM потребуется создать комплексное правило, запрещающее доступ к депозитарию из всех сетей за исключением подсети «Сотрудники», и добавить правило, разрешающее доступ членам группы «Разработчики». В результате работы этой пары правил, брандмауэр не пропустит запросы к депозитарию из всех сетей за исключением подсети «Сотрудники». Второе правило обработает трафик из подсети «Сотрудники», и пропустит только запросы с IP адресов, принадлежащих группе «Разработчики».

Как видим, с помощью схемы аутентификации Sophos можно создавать сложнейшие конструкции. При этом для того, чтобы реализовать простые (в TMG) вещи иногда приходится городить усложнённые конструкции.

Провайдеры аутентификации

Sophos UTM поддерживает полный список провайдеров аутентификации, включая Active Directory, eDirectory, LDAP, RADIUS, TACACS+. Настройка провайдера аутентификации в Sophos заключается в указании адресов серверов аутентификации, портов и других вещей, индивидуальных для каждого провайдера.

Sophos UTM поддерживает резервную схему аутентификации, позволяя настроить резервный провайдер аутентификации, который будет использован автоматически в случае проблем с доступом к основному провайдеру.

Настройка провайдеров аутентификации мало отличается от таковой в аналогичных продуктов. Нужно упомянуть лишь несколько вещей, отличающих Sophos от аналогичных систем. Одна из таких возможностей относится к отладке аутентификации. Независимо от того, какой именно провайдер аутентификации был использован, Sophos предлагает интересную возможность, позволяющую проверить, существует ли учётная запись пользователя в базе данных конкретного провайдера, и если таковая существует, то к какой группе пользователей она принадлежит.

Что касается методов аутентификации, то Sophos UTM мало отличается от Forefront TMG. Доступны методы No Authentication, Proxy Authentication, и Client Authentication (через Sophos Authentication Agent, функции которого аналогичны функциям TMG Firewall Client).

Опять же, в методах аутентификации обошлось без сюрпризов. Отметим несколько моментов. В Sophos UTM, аутентификация работает как в стандартном, так и в прозрачном режиме. Это несколько необычно, т.к. в большинстве подобных продуктов использование прозрачного прокси нарушает работу аутентификации. В режиме прозрачного прокси доступны методы аутентификации Agent (через Sophos Authentication Agent) и Browser (аутентификация в окне веб-браузера).

Аутентификация через веб-браузер предоставляет возможность ввести логин и пароль в окне браузера. Способ удобен тем, что позволяет работать не только с компьютера, но и с других устройств. К сожалению, при использовании этого вида аутентификации доступен только веб-траффик.

Альтернативный способ аутентификации – через агента Sophos Authentication Agent. Агент можно распространить вручную в виде файла .EXE или .MSI, опубликовать через групповую политику или распространить любым другим способом, использующимся в вашей сети.

При установке на клиентском компьютере, Sophos Authentication Agent запрашивает у пользователя информацию о его учётной записи. При этом существует возможность сохранения данных учётной записи для прозрачного доступа к защищаемым ресурсам. С помощью агента аутентификации достигается полностью прозрачный доступ к ресурсом с единым логином. При этом состояние компьютера пользователя (вошёл пользователь в систему или вышел из неё) не играет роли.

Прокси

Sophos UTM поддерживает функции прямого и обратного прокси. В контексте поддержки прокси, разница между Sophos UTM и TMG заключается в том, что прямой прокси в Sophos UTM настраивается не слишком прямолинейно. Для настройки прямого прокси требуется зайти во вкладку Web Filtering, а аутентификация прокси настраивается через секцию Authentication.

За исключением этого, настройки прокси в Sophos UTM мало отличаются от таковой в Forefront TMG. Неожиданным ограничением в работе кэширующего прокси является невозможность настройки размера кэша, его порогового значения и других свойств. Прокси можно настроить таким образом, чтобы отдельные URL или паттерны не подвергались фильтрации (что включает в себя и кэширование).

В Sophos UTM доступен прокси, базирующийся на политиках. Настройки политик прокси осуществляются через Web Filtering Profiles. Здесь администраторам доступны опции, позволяющие определять поведение профилей веб-фильтров в зависимости от уровня доверия к запрашиваемому контенту. Уровни доверия разделяются на Trusted, Neutral, Unverified и Suspicious. В свою очередь, это открывает возможность определить, как поступить с трафиком в зависимости от определённых для него правил.

В Sophos UTM доступен и SSL прокси. Как уже упоминалось в главе, посвящённой аутентификации, в Sophos UTM доступен прозрачный режим фильтрации SSL трафика, позволяющий сканировать зашифрованный трафик, передаваемый через туннели. Технически это реализуется отслеживанием SNI с целью определения точки назначения туннеля, что в свою очередь позволяет Sophos UTM перенаправлять SSL трафик на прокси и осуществлять прозрачную проверку содержимого. Для обеспечения функционирования SSL прокси требуется установка публичного сертификата UTM на клиенте.

Обратный прокси

Если вы попытаетесь найти обратный прокси в настройках Sophos UTM и не сможете его найти, знайте: вы не одиноки. В Sophos UTM эта функция носит название «защиты веб-сервера» (Webserver Protection). Во всём остальном, кроме названия, здесь сосредоточен функционал классического обратного прокси.

Настройка обратного прокси довольно проста и мало отличается от настройки аналогичных продуктов. Стоит упомянуть отсутствие аутентификации в режиме обратного прокси. В Sophos UTM не предусмотрена возможность разграничения доступа по пользователям. Это весьма странно, так как не вписывается в логику продукта. Объяснение здесь скорее из области политики, а не техники: в настоящий момент компания работает над проектом, совмещающим функционал SSL VPN с функционалом обратного прокси. Результатом работы должна стать возможность аутентификации для входящих пользователей. Другой возможностью ожидаемого проекта будет возврат запроса данных учётной записи пользователя с веб-страницы. К сожалению, данный функционал до сих пор недоступен, и точная дата выхода неизвестна.

VPN

Реализация VPN в Sophos UTM заслуживает всяческих похвал. Система поддерживает все возможные виды VPN, включая удалённых пользователей IPSEC, HTML5, L2TP, PPTP, SSL, и Cisco. Кроме того, поддерживаются туннели site-to-site Amazon VPC, IPSEC и основанные на SSL.

Одним из популярных вариантов VPN является IPSEC site-to-site VPN. Настроить этот тип VPN очень просто. Процедура настройки напоминает работу в Cisco ASA, так что администраторы, работавшие с этой системой, не будут испытывать затруднений. Соответственно, мы не будем подробно останавливаться на конфигурации VPN в Sophos. Рассмотрим лишь некоторые интересные моменты.

Strict Routing и совместимость с TMG

Одной из интересных возможностей Sophos UTM является «строгая маршрутизация» (“strict routing”). При активации этого режима, вместо использования статических маршрутов система создаёт маршруты, основанные на политиках. Разница между «строгим» и обычным режимом маршрутизации весьма значительна. В обычном режиме Sophos UTM маршрутизирует весь трафик, предназначенный для тунеллированной подсети, через туннель. В «строгом» режиме, Sophos UTM будет тунеллировать только те пакеты, у которых прописаны «правильные» исходная сеть и сеть назначения.

Очевидно, в этом режиме система способна обеспечить существенную экономию трафика, передавая через туннель исключительно те данные, которые были для этого предназначены. К слову, «строгий» режим работы Sophos UTM идентичен стандартному режиму работы большинства шлюзов VPN за исключением TMG. Соответственно, «обычный» режим работы Sophos UTM можно рассматривать как режим совместимости с TMG.

Site to Site VPN

Интересной возможностью Sophos UTM является поддержка туннелей между сетевыми сайтами (site-to-site SSL VPN). Очевидно, в таком случае требуется наличие Sophos UTM по обе стороны туннеля (как сервера, так и клиента), но если вы внедряете Sophos повсеместно, то простота решения вас порадует.

Для создания site-to-site VPN нужно настроить один Sophos UTM в качестве сервера, а второй – в качестве клиента. Клиентский UTM автоматически инициирует сессию VPN при возникновении необходимости передачи трафика на сервер.

Настройка VPN в данном сценарии проще простого. Основной UTM настраивается в качестве сервера, при этом указываются локальные и удалённые сетевые объекты. Серверный UTM автоматически создаст установочный файл, который можно будет скачать и установить на клиентском UTM. В данном файле уже содержатся все необходимые для клиента настройки, в том числе и необходимый для работы сертификат. Соответственно, на клиентском UTM не нужно ничего настраивать вручную.

Настройки SSL VPN

В Sophos UTM доступны все необходимые для работы SSL VPN настройки. Можно настроить шифрование канала, хеширование и т.д. Для трафика, передаваемого через туннель, доступны опции сжатия и NAT.

Работа VPN с удалёнными клиентами

Настройка SSL VPN для работы с удалённым клиентом также несложна. Поддерживается интерфейс drag-and-drop, с помощью которого можно добавлять пользователей и группы пользователей, которые могут пользоваться SSL VPN. Автоматизация выполнена прекрасно: в качестве последнего шага предлагается добавить в пользовательский портал ссылку на скачивание SSL VPN клиента, которая будет видна только авторизованным пользователям.

Настройка доступа через PPTP и L2TP ещё проще: требуется всего лишь указать авторизованных пользователей и определить назначение адресов и пул VPN.

С настройкой VPN клиента IPSEC придётся повозиться чуть дольше. Процесс похож на настройку туннеля site-to-site IPSEC; соответственно, нужно будет настроить политики и привязать их к профилям Connection Profiles. Так же, как и в случае с клиентом SSL VPN, авторизованным пользователям будет предложена ссылка на скачивание файла, с помощью которого доступ настраивается со стороны клиента полностью автоматически.

Наконец, настройка клиентского VPN Cisco IPSEC не представляет трудностей и похожа на настройку клиента SSL VPN.

VPN портал HTML 5

В предыдущем разделе упоминался пользовательский портал. Рассмотрим эту часть функционала Sophos UTM подробнее.

Поддержка VPN порталов HTML 5 – интереснейшая возможность Sophos. С помощью VPN порталов удалённые пользователи могут пользоваться внутренней инфраструктурой компании через безопасный туннель. При этом не требуется установка клиента – достаточно использовать любой веб-браузер, поддерживающий соединения HTTPS/SSL. В результате с помощью VPN порталов HTML 5 можно подключаться к ресурсам компании с использованием компьютеров и мобильных устройств под управлением Windows, Linux, Mac OS X, Android, iOS и многих других.

VPN порталы HTML 5 чрезвычайно удобны для пользователя. Для их использования не требуется установка объектов ActiveX или Java. Вся сессия происходит в окне обычного веб-браузера. Даже ввод логина и пароля можно автоматизировать, разрешив хранение реквизитов учётной записи пользователя непосредственно на устройстве.

В VPN порталах Sophos UTM есть возможность добавления приложений, которые будут доступны пользователю в виде пиктограмм. Действительно, для запуска этих приложений достаточно кликнуть на пиктограмму – при этом весь трафик будет проходить через безопасный туннель SSL. Идеология сходна с идеей

Cisco webVPN, которая также не требует отдельного клиента.

Звучит хорошо. А что в реальности?

Реальная жизнь вносит свои коррективы. Да, приложения можно легко добавить и запускать одним кликом. Но выбор приложений в Sophos очень и очень ограничен. Доступны приложения RDP, HTTP/HTTPS, SSH, Telnet и VNC.

Вторым важным ограничением Sophos UTM является отсутствие унифицированной авторизации в поддерживаемых приложениях.

В результате пользователь получает систему с ограниченным выбором приложений, для использования каждого из которых требуется вводить логин и пароль. Да, логин и пароль могут подставляться автоматически (если эта опция настроена), но это всё равно лишь обходной путь. Таким образом, VPN порталы HTML в их настоящем виде будут представлять ограниченный интерес – по крайней мере, до тех пор, пока Sophos не включит поддержку аутентификации в обратный прокси.

Инспекция и фильтрация трафика

В Sophos UTM доступны мощные функции проверки и фильтрации трафика. Рассмотрим их подробнее.

Web фильтры

Фильтрация веб-трафика настраивается через меню Web Filtering. В меню доступны возможности настройки фильтрации, профилей и параметров фильтрации по URL.

Основную часть фильтрации мы уже рассмотрели в предыдущих частях статьи, поэтому ниже мы рассмотрим фильтрацию по URL, доступную во вкладке “URL filtering”.

Фильтрация URL

Фильтрация контента по URL – простой способ разграничения доступа к контенту. С помощью этого способа фильтрации можно настроить, каким пользователям можно, а каким – нельзя получать доступ к разного рода ресурсам.

В Sophos поддерживаются как «белые», так и «чёрные» списки. Соответственно, по умолчанию можно либо разрешить доступ ко всему контенту кроме того, который включен в «чёрный» список, либо, наоборот, запретить всё кроме сайтов из «белого» списка. При этом и «чёрный», и «белый» список не являются списками в прямом смысле слова. В качестве «списков» используются правила фильтрации, которые и определяют, будет ли данный тип контента доступен конкретному пользователю.

В Sophos UTM встроены фильтры, отсекающие доступ к сайтам, которые содержат вирусы и другие типы вредоносного программного обеспечения. Сам этот фильтр достаточно примитивен, т.к. его работа основана на проверке, включен ли сайт в список ресурсов, на которых содержатся вредоносные программы, или не включен. Проверка собственно содержимого (трафика) на предмет наличия в нём вредоносного кода настраивается в другом месте; здесь же конфигурируется фильтрация по адресам сайтов.

В качестве дополнительного параметра доступна опция блокировки адресов в зависимости от репутации (“Block URLs based on reputation”). Этот режим представляет больший интерес, т.к. его решения основываются на базе данных антивирусной компании McAfee в комбинации с данными, полученными из собственной системы репутации сайтов Sophos. При включении этой опции UTM блокирует сайты, уровень репутации которых ниже заданного. Доступны уровни Trusted, Neutral, Unverified и Suspicious (доверенный, нейтральный, не проверенный и подозрительный). Если эту опцию активировать, то Sophos UTM будет работать аналогично тому, как это делал Forefront TMG. Тем не менее, по умолчанию компания Sophos предпочла выключить этот режим, используя традиционные чёрные и белые списки.

Следующий параметр позволяет разрешать или блокировать доступ к веб-сайтам, принадлежащим к определённым категориям. Доступные категории включают в себя сайты развлекательной природы, игровые ресурсы, сайты поиска работы, видео- и фото-хостинги и т.д. Также присутствует опция, позволяющая разрешать или блокировать доступ к сайтам, которые не принадлежат ни к одной из категорий. Собственно категории можно создавать и удалять, а в каждую категорию можно добавлять сайты или удалять их из неё. Все эти действия производятся во вкладке URL Categories.

Исключения из правил настраиваются здесь же через списки, доступные в правой части окна. Администратор может указать URL, который будет блокироваться или разрешаться независимо от остальных правил. Кроме того, можно указать, для каких пользователей блокировки не действуют.

Интересной возможностью Sophos является опция автоматического включения режима Safe Search в поисковых машинах Google, Bing и Yahoo. Если у вашей организации есть «школьный» доступ к YouTube, вы можете включить режим YouTube for Schools. Для этого требуется ввести ваш идентификатор YouTube for Schools ID.

Профили веб-фильтрации (Web Filtering Profiles)

Профили фильтрации Web Filtering Profiles существенно расширяют возможности базовой фильтрации сайтов, позволяя администраторам настраивать разные наборы фильтров для различных групп пользователей.

В этой системе каждый сетевой объект можно использовать в качестве источника только один раз. В результате настроенный профиль, обрабатывающий трафик для «пользователей внутренней сети» де-факто отменяет общие настройки фильтрации для трафика, исходящего из этой сети. Более того, для данной группы пользователей нельзя будет создать более одного профиля: все другие профили, действие которых распространялось бы на данную группу, не окажут эффекта. Такой подход кажется необычным, но вполне укладывается в общую логику модели аутентификации Sophos.

Давайте посмотрим, как это работает в реальности. К примеру, имеется группа пользователей «Начальство». Для этой группы требуется обеспечить доступ ко всем ресурсам, включая и те, которые не доступны для рядовых сотрудников. Одним из вариантов реализации подобного сценария была бы возможность переопределения доступа. К сожалению, данный вариант потребует от «начальства» определённых телодвижений каждый раз при доступе к заблокированному ресурсу. Поэтому попробуем решить проблему иначе.

Простым и изящным решением проблемы доступа «начальства» к заблокированным ресурсам будет создание общего правила фильтрации, которое будет ограничивать доступ к заданного типа ресурсам для сессий из внутренней сети. После этого создаётся профиль веб-фильтрации, который блокирует доступ к определённым на прошлом шаге категориям сайтов для всех пользователей за исключением группы «Начальство», определяемой как исходная сеть для данного профиля. В качестве дополнительного шага на рабочем месте каждого привилегированного пользователя должен быть установлен Sophos Authentication Agent или прокси.

Защита от вредоносных программ

Как и любая другая аналогичная система, Sophos UTM предлагает возможность сканирования трафика на предмет наличия вредоносного кода. В Sophos можно воспользоваться одной или двумя антивирусными программами. Если выбрать единственный антивирус, то система использует продукт собственной разработки. При выборе двух антивирусных программ в дополнение к собственному антивирусу трафик сканирует и антивирус Avira. (В скобках заметим, что выбрать режим, в котором инспекция трафика производится только Avira, нельзя).

Что происходит, если система детектирует вредоносный код? Доступны варианты удаления вредоносного кода (JavaScript и другого подобного контента) или блокирования контента по расширению или типу MIME.

Также доступна опция блокирования скачивания крупных файлов: можно указать максимальный размер доступных для скачивания файлов. Наконец, есть возможность записи информации о посещённых и заблокированных страницах в лог.

Проверка SSL включается через опцию “Inspect SSL”, после чего необходимо загрузить доверенный сертификат. Альтернативным решением является использование сертификата UTM, который распространяется среди конечных пользователей.

В Sophos UTM доступен ряд опций для настройки исключений из политики. Администратор может настроить исключения, отключив использование любой комбинации компонент антивирусной защиты и фильтрации URL включая аутентификацию, кэширование, антивирус, блокирование по расширениям и MIME и так далее (опции Authentication, Caching, Antivirus, Extension blocking, MIME blocking, URL filtering, Content Removal, SSL scanning, Certificate trust, Certificate date and logging). Все эти опции можно либо выключить насовсем, либо отключать при удовлетворении определённых критериев – к примеру, источника, шаблона URL, группы пользователей и т.п.

Что интересно, эти критерии можно комбинировать с использованием логических операторов AND и OR, что позволяет добиться гибкости в настройке исключений. Единственное ограничение – возможность использования только одного типа оператора в на каждом шаге правила.

В Sophos UTM исключения обладают исключительной гибкостью. К примеру, можно отключать сканирование для потокового контента (например, видео с YouTube), включать и выключать проверку SSL, указывать, какие протоколы могут обрабатываться прокси (по умолчанию - FTP, HTTP, HTTPS, HTTP Proxy, LDAP), указывать, блокировать или пропускать объекты, которые невозможно просканировать, и т.д.

Защита от вторжений

В Sophos UTM доступна мощная система защиты от вторжений, работающая в реальном времени. Sophos IPS (Intrusion Protection System) сканирует сетевой трафик в режиме реального времени в поисках известных сигнатур или осуществляя эвристический анализ подозрительных действий. Система защиты от вторжений реагирует на угрозу прекращением соединения либо молчаливым блокированием подозрительного трафика.

Доступные опции тонкой настройки включают возможность указывать возможные типы атак и определять, какие действия будут к ним применимы.

Защита от DoS

Защита от атак Denial of Service (DoS) настраивается таким образом, чтобы распознавать и блокировать избыточный трафик, поступающий по протоколам TCP, UDP и ICMP. При обнаружении избыточного трафика полоса пропускания канала искусственно занижается, а скорость обработки таких запросов замедляется.

Кроме того, в Sophos присутствует защита от сканирования портов. При этом используются те же механизмы, что и в защите от DoS атак. Система рассматривает общее количество сессий и портов на IP адрес вместо подсчёта числа пакетов в секунда. Защита от сканирования портов позволяет заблокировать, отклонить или записать в журнал каждую такую попытку.

Разумеется, для опций защиты от вторжений, DoS атак и сканирования портов могут быть созданы исключения.

Фильтрация почтового трафика и защита от спама

В Sophos UTM доступна мощная система защиты от почтового спама. Защита от спама поддерживает режимы POP3 и SMTP и контролирует все этапы от пересылки почты до маршрутизации отправлений. Для конечных пользователей доступно управление письмами, попавшими в карантин. Об этой возможности мы расскажем подробнее.

Настройка защиты POP3 похожа на настройку Web Filtering. Присутствуют опции защиты от вредоносного кода с привычным выбором антивируса (антивирус от Sophos либо два антивируса Sophos и Avira), возможностью отклонения сообщений, превышающих определённый размер, и традиционной для Sophos возможностью создания исключений.

В режиме SMTP защита от спама работает в качестве ретранслятора SMTP relay, полностью контролируя почтовый поток организации. Этот режим в Sophos чрезвычайно развит. Предлагаются различные варианты защиты от традиционных белых, чёрных и «серых» списков (grey-listing) до детальных профилей маршрутизации по сайтам и доменам.

Функция защиты от вредоносного кода сканирует SMTP трафик, блокируя инфицированные сообщения ещё до того, как они достигнут основного обработчика. Потенциально опасные сообщения могут быть уничтожены или помещены в карантин. В качестве дополнительной возможности поддерживается добавления ко всем прошедшим проверку сообщениям подписи.

Управление сообщениями, попавшими в карантин, в Sophos реализовано на высочайшем уровне. Основное отличие Sophos от аналогичных систем – предоставление возможности управления письмами, попавшими в карантин, самими пользователями. Разумеется, эту возможность можно включить только тем пользователям, которым администратор готов предоставить возможность самостоятельно обрабатывать сообщения, попавшие в карантин. Зато при его включении этот режим позволяет существенно снизить нагрузку на системного администратора, позволяя пользователям самостоятельно разбираться с письмами, случайно попавшими в карантин в результате ложного срабатывания фильтра.

Настройка собственно спам-фильтра мало отличается от настройки защиты от вредоносного кода. Сообщения, определённые как спам, можно удалять без уведомления (при этом доступны разные опции для уверенно идентифицированного как спам и «подозрительного» контента). В этом режиме нагрузка на ядро UTM существенно снижается, т.к. действие осуществляется до того, как сообщение достигнет основных обработчиков системы.

Доступны чёрные списки реального времени (Real-Time Blacklist, или RBL), причём администратору предоставляется возможность настройки собственных зон RBL. По умолчанию, в Sophos используется база данных от Spamhaus – системы, мягко говоря, неоднозначной. Возможность перенастроить правила блокировки чрезвычайно важна при необходимости получения сообщений из зоны, попавшей в чёрный список Spamhaus.

Сообщения с подозрением на спам могут быть пропущены с предупредительным сообщением или без такового, помещены в карантин или уничтожены. Кстати, те же возможности доступны и для сообщений, уверенно идентифицированных как спам.

Администраторам доступна возможность добавлять определённые последовательности адресов и списки ключевых слов в правила определения спама. Доступны опции Reverse DNS lookup, greylisting, проверки адресов bounce tag и проверки SPF.

Нужно ли упоминать, что и для спам-фильтра доступны исключения, с помощью которых можно переопределить действия для любых сообщений в зависимости от адреса, сети или группы пользователей? Администраторам доступна возможность тонкой настройки исключений, с помощью которых можно указать, какие фильтры можно пропустить на основе максимум трёх выражений (источник или сеть отправителя, адрес отправителя или адрес получателя), связанных между собой логическим оператором OR (оператор AND в данном случае недоступен).

В режиме SMTP Sophos UTM можно настроить для сканирования и исходящих писем, применяя к ним те же политики и исключения, что и к входящим сообщениям.

Фильтрация приложений

Удобнейшей возможностью Sophos является возможность распознавания того, какому приложению принадлежит трафик, и применения к этому трафику соответствующих правил. Эту возможность трудно переоценить, ведь с её помощью администратор может создавать правила и политики, основанные на конкретном приложении, а не на простейших протоколах. Включив фильтрацию приложений, администраторы могут настраивать практически любые аспекты функционирования Sophos UTM начиная от правил брандмауэра и заканчивая маршрутизацией и работой прокси.

Поддержка приложений и распознавание сгенерированного ими трафика управляется собственной программой Sophos AppAccuracy. В состав программы входит гигантская база данных, позволяющая идентифицировать трафик более чем 10,000 приложений. Впрочем, это не удивительно: база данных пополняется автоматически (и анонимно) каждым пользователем Sophos, у которого включена эта возможность.

Администраторы могут создавать правила, имеющие приоритет перед прочими настройками системы, что в свою очередь позволяет блокировать или разрешать трафик определённых приложений. К примеру, можно разрешить текстовые сообщений Skype, но запретить голосовое общение – и наоборот. Или разрешить посещение социальных сетей, но запретить просмотр потокового видео. Возможности этого фильтра ограничиваются только потребностями компании и фантазией администратора.

Приоритезация трафика и QoS

В Sophos имеется продвинутая система приоритезации и разделения трафика по типам. Доступны как простой вариант с QoS с маркировкой, классификацией и обработкой трафика, так и полноценный шейпинг трафика с использованием политик.

QoS можно включить как на входные, так и на выходные интерфейсы. Для включения обработки пакетов требуется разрешить QoS на обоих типах интерфейсов.

Настройка QoS разделена на две части. Первая часть позволяет настраивать выборку трафика, определяющую, на какие типы трафика нужно обращать внимание. Вторая часть интерфейса отвечает за настройку пула полосы пропускания, используемой для шейпинга трафика, отвечающего заданным критериям, и применения различных политик.

Выборка трафика настраивается довольно просто. Sophos UTM настраивается так, чтобы считывать значения DSCP (если включена маркировка исходящего трафика), либо указываются параметры (исходящий адрес, протокол, приложение и назначение трафика). Также можно настроить пороговое значение, по достижении которого должны включаться приоритезация и шейпинг.

Настройка пула полосы пропускания ещё проще. Достаточно указать минимальную полосу пропускания, требующуюся для каждого типа трафика. Кроме того, опционально можно указать и максимальное значение, таким образом ограничивая полосу пропускания, доступную для определённых типов трафика (к примеру, потокового видео).

В комбинации с поддержкой приложений шейпинг трафика в Sophos может предоставлять интереснейшие возможности. Можно как выделять определённую полосу пропускания важным приложениям (к примеру, IP-телефонии), так и ограничивать доступную полосу пропускания для менее важных видов трафика (таких, как просмотр видео на YouTube) без полного запрета на подобную деятельность.

Пользовательский портал

Мы уже упоминали пользовательские порталы в разделе о фильтрации спама. Остановимся на них подробнее.

Пользовательский портал (User Portal) позволяет администраторам делегировать некоторые административные полномочия самим пользователям. Уже рассмотренный ранее пример – работа с «подозрительными» электронными письмами, попавшими в карантин. Другие примеры использования пользовательского портала – самостоятельная установка агента аутентификации или импорт корневого сертификата SSL. Делегирование части полномочий конечным пользователям позволяет существенно снизить нагрузку на системных администраторов.

Пользовательские порталы можно включить в меню Management. Требуется указать, пользователям каких сетей разрешается доступ к порталу. Кроме того, можно настроить, какие именно компоненты портала будут доступны.

Высокая доступность

Для приложений, требующих высокой доступности и близкого к ста процентам времени безотказной работы, в Sophos UTM доступны как активно-активные (“Cluster”), так и активно-пассивные (“Hot Standby”) способы перехода на другой ресурс. Доступные типы организации избыточности зависят от типа установленной лицензии. Помимо прочего, в Sophos доступны комбинации избыточных интерфейсов, а также группирование интерфейсов.

В Sophos доступны как ручной, так и автоматический режимы настройки избыточных ресурсов типа “Cluster” и “Hot Standby”. Hot Standby настроить проще всего в полностью автоматическом режиме. Администратору нужно будет указать интерфейс Sync (heartbeat), после чего все системы под управлением Sophos UTM изберут основной сервер в зависимости от времени непрерывной работы. Далее системы синхронизируют настройки и будут осуществлять постоянный мониторинг доступности серверов. Если основной сервер перестанет отвечать на запросы, его роль возьмёт на себя одна из запасных систем.

Единственное ограничение на такой способ организации избыточности накладывается аппаратным обеспечением. В случае с Sophos UTM в такой связке могут работать только одинаковые типы систем. Связать в одну упряжку виртуальные и аппаратные установки Sophos, а также разные модели аппаратных устройств UTM невозможно. Другими словами, все установки Sophos UTM, участвующие в подобной схеме, должны быть одной и той же версии.

В ручном режиме доступна настройка избыточности по моделям как stand-by, так и cluster. В этом режиме основной сервер можно выбрать вручную. Вручную можно задать и резервный интерфейс. В число прочих настроек входит настройка резервных устройств и обработка системных обновлений.

Кстати, системные обновления можно настроить двумя способами: обновлять одновременно все UTM либо последовательно, одну систему за одной. Во втором случае обеспечивается работоспособность системы в случае, если установка системного обновления выведет систему из строя.

Избыточность каналов передачи данных

Избыточность каналов передачи данных обеспечивается с помощью опций Uplink Balancing и Link Aggregation.

С помощью Uplink Balancing можно скомбинировать несколько физических соединений от одного или нескольких интернет-провайдеров. При этом адресуется агрегированный канал как единственная логическая сущность. Поддерживаются статический и динамический (802.3AD LACP) типы агрегации. В динамическом режиме можно осуществлять мониторинг интерфейсов, добавлять и удалять каналы и переопределять нагрузку между шлюзами и другими узлами сети.

Преимущество использования динамической агрегации в том, что обеспечивается не просто избыточность соединения, но и доступна возможность переназначения нагрузки между интерфейсами, что в свою очередь позволяет повысить общую производительность системы в моменты, когда работают оба канала.

Очевидным недостатком такого рода агрегации является необходимость рассматривать все агрегированные интерфейсы как единую логическую сущность. Это ограничение не позволяет использовать управление избыточностью, доступное в уровне Layer 3.

Эту проблему можно решить использованием агрегацию по методу Uplink balancing. В этом режиме UTM отслеживает доступность сервиса на основном канале и автоматически переключается на резервный канал передачи данных при возникновении проблем. Если такое событие происходит, Sophos UTM автоматически подстраивает опции NAT и маршрутизации.

Одновременное использование нескольких каналов передачи данных возможно через Sophos Multipath Routing. В этом режиме есть возможность указать, какие типы трафика будут распределяться между основным и резервным каналом на основе источника, типа и пункта назначения трафика.

Мониторинг и отчёты

В Sophos UTM присутствуют встроенные средства мониторинга и отчётности. Доступна поддержка мониторинга через SNMP. В Sophos можно настроить ловушки буквально для всего на свете – от входа пользователя в систему до предупреждений системы защиты от вторжений.

Администратор может указать интересующие его типы событий, а также настроить действие, происходящее при возникновении такого события. События можно просто записывать в лог-файл, уведомлять администратора по электронной почте или использовать оповещение SNMP.

В конце каждого дня генерируется обзорный отчёт, очень похожий на аналогичные отчёты Forefront TMG. В ежедневный отчёт включаются данные о нагрузке сети, количестве переданного трафика, а также данные о первой десятке пользователей, протоколов, веб-сайтов и т.п.

Можно отметить, что отчётность Sophos UTM развита приблизительно на том же уровне, что и в Forefront TMG. Само по себе это неплохо, но для действительно серьёзного анализа происходящего в сети желательно использовать стороннее решение в виде, к примеру, ProxyInspector. Расширив таким образом аналитические способности Sophos, администратор получает действительно мощный анализ и отчёт о происходящем в администрируемой сети.

Цены

Цена – сложный вопрос, и в случае с Sophos UTM это высказывание вполне оправдано. Компания Sophos разработала мощную, сложную и разветвлённую систему ценообразования, разобраться в которой могут только квалифицированные специалисты, прошедшие специальный тренинг. Соответственно, узнать цену на продукт в заданной конфигурации можно, лишь заполнив анкету у одного из авторизованных агентов Sophos. Причём даже в этом случае наблюдается некоторый разброс. Чтобы получить информацию о ценах на Sophos UTM, мы связались с тремя агентами, запросив стоимость вполне определённой конфигурации. При этом получили мы три разных ценника. Нужно отметить, что разброс был в пределах десятка процентов, что можно списать на разную заложенную в цену маржу.

При этом доступна масса вариантов выбора. Многие возможности Sophos UTM можно лицензировать по отдельности. Если не хочется возиться с выбором оптимальной конфигурации – вам доступны готовые сборки от базовой до «всё в одном».

Различается и подход к лицензированию аппаратных и виртуальных систем. Так, в случае с виртуальной системой лицензии на нужное число конечных пользователей докупаются отдельно, а в случае с аппаратной системой – уже включены в ценник.

Sophos UTM можно лицензировать на 1, 3 или 5 лет. Все типы лицензий включают в себя доступ к технической поддержке. Расширенная поддержка предлагается через партнёров Sophos. Партнёры обеспечивают и гарантийное обслуживание аппаратной части.

Рассматривать весь ценник целиком бессмысленно, поэтому давайте просто посмотрим, как выглядит Sophos UTM в сравнении с Forefront TMG.

Сравнение цен Sophos и TMG

Провести прямое сравнение цен между системами Sophos UTM и Forefront TMG не представляется возможным. Forefront TMG устанавливается и функционирует в системе Windows, что требует покупки лицензий и на Windows, и на TMG. Sophos UTM устанавливается как самостоятельно функционирующая сущность; более того, в случае с Sophos можно купить уже готовую систему с предустановленным программным обеспечением. Соответственно, если требуется расширенная поддержка, то в случае с Microsoft она покупается на два продукта, а в случае с Sophos – на один.

В конце концов, мы решили рассмотреть цены двух продуктов на примере типичной конфигурации для среднего размера компании. Мы запросили стоимость лицензий Sophos UTM у трёх разных партнёров Sophos и совокупную стоимость лицензий ни Microsoft Windows Server + Forefront TMG у трёх дилеров Microsoft. В результате усреднения получилось, что в выбранной нами конфигурации Sophos UTM приблизительно в 1.4 раза дороже, чем связка продуктов от Microsoft.

Выводы

Так можно ли считать Sophos UTM полноценной заменой для Forefront TMG? С нашей точки зрения – вполне можно. В отличие от многих других систем, подаваемых в качестве альтернативы Forefront TMG, Sophos действительно предлагает решение, способное заменить снятый с производства продукт Microsoft – к сожалению, за более высокую цену.

Сильные стороны Sophos – уникальная модель аутентификации, выверенный веб-интерфейс и количество доступных настроек; возможности по фильтрации трафика и защите внутренней сети, а также наличие пользовательского портала, облегчающего жизнь системного администратора.

Некоторые другие аспекты системы нуждаются в доработке. Сюда мы запишем VPN портал HTML 5 с его ограничениями по числу поддерживаемых приложений и отсутствием сквозной аутентификации, недоработанный обратный прокси также с отсутствием сквозной аутентификации, а также ограниченные возможности системы отчётности. Последний пункт можно снять с повестки дня, использовав один из сторонних продуктов (к примеру, ProxyInspector.

Кроме того, в Sophos отсутствует поддержка неравномерного перераспределения нагрузки. В то же время ситуацию с обратным прокси компания собирается исправить в одной из будущих версий системы.

Смущает также подход компании Sophos к лицензированию своей системы. Система лицензирования настолько разветвлена и запутанна, что разобраться в ней могут только партнёры компании, прошедшие специальное обучение. Соответственно, выяснить стоимость системы для вашей организации возможно только обращением к партнёру компании.

Решение компании сделать стоимость виртуальной установки Sophos UTM почти такой же, как и аппаратного решения (а в случае с большим количеством пользователей виртуальный сервер оказывается даже дороже) также вызывает недоумение.

Наконец, тот факт, что Sophos UTM стоит почти на 40% дороже аналогичной конфигурации Forefront TMG несколько обескураживает. Возможно, более высокая стоимость по сравнению с Forefront TMG и не должна вызывать недоумения; вопрос лишь в том, насколько именно больше денег вы готовы заплатить за замену TMG.

Заключение

За исключением высокой стоимости системы и некоторых небольших недочётов, Sophos UTM произвела прекрасное впечатление. У нас не возникло проблем с установкой и настройкой системы, а тем более – при её использовании. В результате с нашей точки зрения именно Sophos UTM является наиболее близкой заменой для Forefront TMG из всех сторонних продуктов, прошедших через наши руки. Если Sophos добавит в систему поддержку обратного прокси со сквозной аутентификацией, то пользователи получат сильно улучшенную функциональную копию TMG.

Если вы рассматриваете Sophos UTM для вашей организации, мы можем только приветствовать это решение. Со своей стороны, мы встроили полную поддержку Sophos UTM в наш собственный продукт, ProxyInspector. Если вы уже установили Sophos UTM, то информация по настройке ProxyInspector для совместной работы с этой системой может оказаться полезной.

Теги: Sophos UTM, TMG, ProxyInspector, Astaro