Yrityskäyttöön soveltuvien palomuurien vertailu,
loppuarviot (Tietokone 5/2003)
Huom! Uusia palomuurilaitteita tulee markkinoille jatkuvasti. Hinnat
menevät pääsääntöisesti alaspäin, tosin ei niin dramaattisesti alla kuvatuissa
yritystason palomuureissa.
3Com Superstack 3 firewall
3Com toimitti testiin Superstack-sarjaan kuuluvan pinottavan ja
kehikkoasennettavan laitteen, jonka lähiverkkoliittimet ovat häiritsevästi
laitteen etulevyssä.
3Com käyttää palomuurinsa pohjana Sonicwallin ohjelmistoa, joka on kuorrutettu
3Comin omalla käyttöliittymällä. Ohjelman versio oli ilmeisesti Sonicwallin
testissä käynyttä laitetta vanhempi, koska toiminnallisuus oli hiukan
vaatimattomampi. Esimerkiksi virustutkaa ei 3Comin versioon ole saatavissa.
Laitteen sisäinen ohjelmisto korvattiin testausta varten uusimmalla versiolla.
3Com jakelee uusimpia versioita www-sivuillaan vain ylläpitosopimuksen
solmineille asiakkaille. Sivustolta löytyy myös Safenetin vpn-asiakasohjelma.
3Comin palomuurin suorituskyky oli puhtaassa ftp-siirrossa tai www-selailussa
kohdallaan. Sen sijaan se luovutti vpn-tunneleita testattaessa, eikä se jaksanut
ajaa niitä nopean tai edes kymmenen megabittiä sekunnissa siirtävän ethernetin
vauhdilla. Ylikuormitustilanteen jälkeen palomuuri oli käynnistettävä uudelleen,
ennen kuin se toipui.
Onneksi Superstack 3 tarjoaa kaistanhallinnan. Rajoittamalla vpn-tunneleiden
kaista megabittiin sekunnissa alkoi laite toimia luotettavammin. Hitailla
dsl-yhteyksillä laite voi oikein määriteltynä olla hyvinkin käyttökelpoinen.
3Com Superstack 3 firewall
Hinta: 3648 €
Valmistaja: 3Com, www.3com.com
Lisätietoja: 3Com Nordic, puh. (09) 2707 5800, www.3com.fi
Lyhyesti: Toiminnoiltaan suhteellisen vaatimaton palomuuri, jonka
vpn-toteutuksessa on jotain vikaa.
Cisco Pix 515E
Ciscon Pix-palomuuri on modulaarinen, kehikkoasennettava laite, jonka porttien
määrää voi kasvattaa testatusta kolmesta jopa kuuteen.
Laitteen käyttöönotto vaatii ip-osoitteiden, sisäisen reitityksen ja
pääkäyttäjämääritysten asettelun perinteiseen tapaan merkkipohjaisella
päätekäyttöliittymällä. Varsinaisten palomuurimäärittelyjen tekoon sekä laitteen
valvontaan ja hallintaan Cisco tarjoaa Java-pohjaisen, graafisen
selainkäyttöliittymän.
Myös selainliittymä on vaativa käyttää. Siinäkin on määriteltävä erikseen
jokainen pääsylistojen ja sääntöjen detalji. Palkkioksi keskittymiskykyinen
pääkäyttäjä saa erinomaisen tarkan kuvan siitä, mitä palomuuri itse asiassa
tekee. Pk-yrityksen ainokaisen pääkäyttäjän ei sivutöinään silti kannata lähteä
perehtymään Ciscon ajatusmaailmaan.
Ciscon kunniaksi on laskettava kerrassaan loistava dokumentointi. Harvan
palomuurin käsikirjan tekijät ovat jaksaneet sisällyttää vastaavan määrän
reaalimaailmaan hyvin sopivia esimerkkejä verkoista ja niiden
osoiteavaruuksista. Kun ohjeet asetusten tekemisestä ovat vielä konkreettisia ja
yksityiskohtaisia, tuotantoon jäävien virheasettelujen todennäköisyys on
Pix-käyttäjällä palomuurin laajan toiminnallisuuden huomioon ottaen
poikkeuksellisen pieni.
Suurimpana miinuksena on vaivainen 90 päivän takuu.
Cisco Pix 515E
Hinta: 3 400 €
Valmistaja: Cisco Systems, www.cisco.com
Lisätietoja: Cisco Systems Finland, puh. (09) 878 061, www.cisco.com/fi
Lyhyesti: Vaativa, mutta korkealaatuinen palomuuri, joka toimii sekä itsenäisenä
että ison Cisco-verkon osana.
Clavister S330
Ruotsalaisen Clavisterin palomuuri työntää verkkoliitynnät 3Comin tapaan
tarjolle etupaneelistaan. Tästä ei kuitenkaan ole suurempaa haittaa, koska ison
sikarirasian kokoista laitetta ei ole tarkoitettu kehikkoon asennettavaksi.
Clavister on parhaimmillaan usean palomuurin keskitetysti hallittavaa
kokonaisuutta rakennettaessa. Palomuurilla on oma hallintaohjelma, jota voi ajaa
joko paikallisesti sisäverkosta tai etänä. Sen käyttöliittymä oli monella tapaa
miellyttävä tuttavuus. Säännöstöt voi laatia jokaiselle palomuurille erikseen
tai kopioida ne palomuurilta toiselle. Määrittelyistunnon lopuksi muutetut
säännöt on muistettava tallentaa kohteina oleville palomuureille.
Ohjelman opastus on toteutettu esimerkillisesti. Mistä hyvänsä tilanteesta
pääsee F1-näppäimellä suoraan käsikirjan asiaa koskevalle sivulle.
Käyttöliittymän hankaluutena ovat epäilmeiset, mutta välttämättömät
näppäinkomennot, joiden keksiminen on mahdotonta.
Clavisterilla on oma, SSH:n koodiin perustuva vpn-asiakasohjelma.
Ipsec-määrittelyjen teko palomuurille on monipolvinen prosessi, koska jokainen
yksityiskohta on sallittuja palveluita myöten erikseen aseteltava tunnelin läpi.
S330-palomuurin suorituskyky oli testeissä erinomainen.
Clavister S330
Hinta: 3 599 €
Valmistaja: Clavister, www.clavister.com
Lisätietoja: Clavister, puh. (09) 622 916 40, www.clavister.com
Lyhyesti: Isonkin verkon rakennusosaksi soveltuva suorituskykyinen
peruspalomuuri.
D-Link DFL-1000
D-Linkin kehikkoasennettavan palomuurin
liitännät ovat 3Comin tapaan hankalasti koneen etupaneelissa.
DFL-1000:n selainkäyttöinen määrittelyohjelma on selkeä, mutta
palomuuritoiminnot ovat rajoittuneita. Dokumentointi lähentelee surkeaa.
Ohjeistus rajoittuu valikoiden ja niihin täytettävien kenttien kuvailuun, ja
esimerkkitapaukset ympäristökuvauksineen puuttuvat.
Omaa vpn-asiakasohjelmaa ei D-Link tarjoa. Suositus teollisuusstandardin
mukaisista ipsec-työasemaohjelmista on Safenet/Soft-pk. Vpn-asiakkaiden tuki oli
neuvottu käsikirjassa suorastaan virheellisesti. Toimivat ohjeet löytyivät vasta
valmistajan verkkosivuilta, mutta sieltäkin vasta Googlen avulla, koska
sivustolla ei ollut toimivaa omaa hakua tai hakupolkua.
DFL-1000 oli toinen testin vpn-tunneleiden hyydyttämistä laitteista. Toisin kuin
3Comissa, D-Link ei tarjoa edes toimivaa kaistanhallintaa. Toiminto on tosin
toteutettu käyttöliittymään, mutta sen käyttöönotolla ei ollut mitään
havaittavaa vaikutusta.
Muun toiminnallisuuden puutteiden kompensoimiseksi D-Link on panostanut
sisällönsuodatukseen ja alkeelliseen tunkeilijoiden torjuntaan. Laite tunnistaa
kattavan luettelon erilaisia hyökkäyksiä ja siinä on myös päivittyvä
virustorjuntatoiminto.
D-Link DFL-1000
Hinta: 2 995 €
Valmistaja: D-Link Systems, www.dlink.com
Lisätietoja: Wintel Finland,puh. (09) 804 6151, www.wintel.fi
Lyhyesti: Vaatimaton, mutta helppokäyttöinen palomuurilaite, jonka suorituskyky
ei yllä käyttöliittymän lupaamien optioiden tasolle.
Fortinet Fortigate 100
Fortinetin laite on kooltaan vain kolmasosa D-Linkin DFL-1000:sta, mutta
kummankin sisältä löytyy sama ohjelmisto. Fortigatessa sen versio on hieman
uudempi.
Liikenteen hallinta on tässäkin olemassa vasta käyttöliittymän tasolla. Puute ei
haittaa, koska laite on testin tehokkaimpia ja osaa jakaa kaistan järkevästi
itsekin.
Fortinet tarjoaa myös omaa vpn-työasemaohjelmaa, mutta koska sellaista ei
toimitettuun pakettiin sisältynyt, palomuuria testattiin Safenetin ohjelmalla.
Fortinet Fortigate 100
Hinta: 2 975 €
Valmistaja: Fortinet, www.fortinet.com
Lisätietoja: Internet Smartsec, puh, (09) 5713 4940, www.smartsec.fi
Lyhyesti: Pk-yrityksille suunnattu tehokas peruspalomuuri, jonka tuotteistusta
ei yksi lisäiterointikierros haittaisi.
GTA Robox
Robox on testin pienin laite. Se käyttää Gnat box -ohjelmistoa samoin kuin
valmistajan samannimiset isommat palomuurilaitteistot.
Roboxin parametrien asetuksiin ja graafiseen hallintaan voi käyttää joko
www-hallintaliittymää tai työasemaan asennettavaa hallintaohjelmistoa. Pakettiin
kuuluu myös oma Syslog-ohjelma, jonka näyttämä loki on poikkeuksellisen raskasta
luettavaa. Käyttöliittymät ovat kauttaaltaan vanhahtavia ja vaikeaselkoisia.
Käsikirjat ovat yksityiskohtaisia, mutta soveltamisesimerkkien puute tekee
niistä hankalia omaksua. Käyttöönotto on kärsivällisyyttä vaativaa käsityötä.
Roboxin ipsec-toteutuksessa on oletuksena yhden tunnelin tuki, mutta erikseen on
saatavissa 10, 25 ja 50 etäkäyttäjän lisenssit. Vpn-asiakasohjelma on
Safenetistä sovitettu. Vpn-tunnelien käyttöönotto on monipolvinen prosessi,
jossa on ensin määriteltävä etäkäyttäjät, vpn-oliot ja vpn-liikennettä koskevat
säännöt kukin omissa valikon haaroissaan.
Suorituskyky ei riittänyt testeissä vpn-tunnelien ajamiseen nopeiden
ethernet-liittymien läpi lainkaan, vaan ftp-siirto kävi hitaammaksi kuin
kymmenen megabitin perus-ethernetillä.
GTA Robox
Hinta: 1 460 €
Valmistaja: Global Technology, www.gta.com
Lisätietoja: PC Protech, puh. 020 730 3060, www.pcprotech.fi
Lyhyesti: Perinteiseen tyyliin toteutettu palomuuri, jonka oppimiseen
tarvittavan ajan voisi käyttää tehokkaamminkin.
Nokia IP-120
Muotoilultaan vertailun rumin laite, Nokian IP-120, kätkee sameanharmaan
muovikuorensa sisään maailmanluokan palomuuriohjelmiston, Checkpoint
Firewall-1:n. Sen hallintaohjelmisto tarjoaa pääsyn kaikkiin ohjelman
toimintoihin, ja opastustoiminto on tavattoman yksityiskohtainen.
Ominaisuuksiltaan Checkpoint on suorastaan tuhlailevan runsas. Palomuuri- ja
vpn-toiminnoista on tarjolla kaikki mitä ajatella saattaa korkeata
käytettävyyttä ja ison verkon monien palomuurien keskitettyä hallintaa myöten.
Virusturvan ja sisällönsuodatusten kaltaisia lisäoptioita on hankittavissa
yhteistyökumppanien kautta. Kerran hankittua ja opiskeltua Checkpointin
palomuuria on tuskin tarpeen koskaan vaihtaa.
Mitalin toinen puoli on kuitenkin korkea oppimiskynnys, mihin törmää jo
käyttöönottovaiheen lisenssitietojen syötössä. Oman toimen ohella ei
Checkpointin palomuuriohjelmaan kannata lähteä perehtymään, vaan kurssin
käyminen on suositeltava vaihtoehto. Vasemmalla kädellä asennetun Firewall-1:n
säännöstöön voi jäädä vaikeasti miellettäviä reikiä, jolloin tietoturvan taso
voi osoittautua petolliseksi.
IP-120 onkin Nokian laajan palomuuriperheen kevyimpiä jäseniä, ja se on ensi
sijassa tarkoitettu haarakonttorien ja kotitoimistojen käyttöön suuren yrityksen
verkon osana. Siinä hyrräävä Firewall-1 onkin Small office -versio, joka rajaa
liikennöivien laitteiden maksimimääräksi kymmenen.
Nokia IP-120
Hinta: 2000 €
Valmistaja: Nokia, www.nokia.fi
Lisätietoja: Lan & Wan, puh. (09) 502 4100, www.lanwan.fi, Securesoft, puh. (09)
4765 0680, www.securesoft.fi
Lyhyesti: Suhteettoman kevyeeseen laitteistoon mahdutettu toiminnoiltaan järeä
palomuuriohjelmisto, joka on perusteltu ratkaisu vain suuremman kokonaisuuden
osana.
Servgate Edgeforce
Violetin, kehikkoasennettavan laitteen liitännät ovat 3Comin ja D-Linkin tapaan
häiritsevästi etupaneelissa.
Selainpohjainen käyttöliittymä muistuttaa jaottelultaan hämmästyttävästi
D-Linkin ja Fortinetin käyttämää, mutta graafinen ilme on selkeästi omanlaisensa
ja valikoista löytyvä toiminnallisuus hiukan laajempi.
Sisällönsuodatusta laitteessa ei ole lukuunottamatta valintaa, joka kieltää
Activex- ja Java-komponenttien siirtymisen palomuurin läpi. Samalla kielletään
kuitenkin myös kaikki zip- ja exe-tiedostojen siirtyminen, joten valintaa tuskin
voi käytännössä tehdä. Optiona Servgate tarjoaa McAfeen virustutkaa.
Vpn-tuki on optio, ja asiakasohjelmia voi hankkia kymmenen tai sadan kappaleen
paketteina. Laitteen valikoista löytyy toimivuutta vaille jäänyt
kaistanhallinta. Edgeforce on kuitenkin yksi testin vauhtihirmuista, eikä
kaistanhallintaa tarvita, koska laite jakaa liikenteen järkevästi muutenkin.
Edgeforecen erikoisuutena on sisäinen kiintolevy, jonka vapaata tilaa voi
käyttää http-liikenteen välimuistina.
Servgate Edgeforce
Hinta: 1335 €
Valmistaja: Servgate Technologies,
www.servgate.com
Lisätietoja: Creanord, puh. 010 309 3400, www.creanord.com
Lyhyesti: Pk-yrityksen suorituskykyinen peruspalomuuri, joka on lähtöhinnaltaan
huomattavan edullinen.
Sonicwall Pro 100
Sonicwall Pro 100 on pieni pöydälle tai hyllylle asennettava muovirasia, joka
vaatimattomasta ulkoasustaan huolimatta on monipuolinen ja suorituskykyinen
palomuuri.
Laitteen hallinta tapahtuu www-selaimella tai snmp-konsolilta.
Komentorivikäyttöliittymää ei ole lainkaan tarjolla. Laitteen hallinta on
ajateltu tapahtuvaksi sisäverkosta, mutta selainyhteyden saa luotua ulkoverkosta
vpn-tunnelin kautta.
Optiona Sonicwall tarjoaa ohjelmistoa, jolla useita Sonicwall-palomuureja voi
hallita keskitetysti.
Sonicwall on tuotteistanut palomuurinsa hienojakoisesti. Perusmallissa on
pelkästään palomuurin toiminnallisuus. Vpn-toiminto on hankittava optiona, ja
myös työasemien vpn-ohjelmisto lisensoidaan erikseen käyttäjämäärän mukaan.
Laite ei ole itsessään testin nopeimpia, mutta kestää vpn-liikennettä
erinomaisesti. Korkeintaan kymmenen megabitin internet-liittymällä ei tämän
tehokkaampaa laitetta tarvitse.
Sonicwall Pro tarjoaa vakio-ominaisuutena korkean käytettävyyden. Jos verkkoon
on asennettuna toinen samanlainen palomuuri, ne osaavat korvata toisensa jomman
kumman vikaannuttua.
Optioita Sonicwall tarjoaa runsaasti virustutkasta ja sisältösuodatuksesta
alkaen. Haavoittuvuusanalyysin avulla palomuurin asetukset tarkistetaan
ajoittain internetistä käsin, ja Verisignin kanssa yhteistyössä toteutettu
varmennepalvelu auttaa vahvan käyttäjätunnistuksen toteuttamisessa.
Sonicwall Pro 100
Hinta: 2 630 €
Valmistaja: Sonicwall, www.sonicwall.com
Lisätietoja: Heathcomm, puh. (09) 825 4140, www.heathcomm.fi
Lyhyesti: Hienosti tuotteistettu, suorituskykyinen ja helppokäyttöinen palomuuri
niin pienille kuin keskisuurillekin yrityksille.
Watchguard Firebox 700
Watchguard on panostanut testin valmistajista eniten visuaaliseen suunnitteluun.
Fireboxit erottuvat massasta paitsi kirkkaanpunaisella värillään myös
etupaneelin yhteyksien tilaa ja kuormitusta osoittavilla havainnollisilla
merkkivaloillaan, jotka ovat hyödyllisiä myös käytännössä.
Watchguard ei tarjoa laitteelleen www-selainhallintaa, vaan kaikki asetukset on
tehtävä Windows-pohjaisella hallintaohjelmalla. Esimerkiksi Linux-kone ei näin
ollen käy hallintatyöasemaksi. Hallintaohjelma on hiukan hajanainen ja
vanhahtavan oloinen. Palomuurien ja tcp/ip:n perusteorian kohtalainen tuntemus
on sen käyttäjälle hyväksi.
Sisällön suodatus on yhdistetty sisäänrakennettuun http-välityspalvelimeen.
Url-osoitteiden aiheenmukaiseen suodatukseen käytetään Webblocker-nimistä
tuotetta.
Firebox 700 on suunniteltu suhteellisen kevyeeseen käyttöön, vajaat kaksi
megabittiä sekunnissa siirtäville internet-yhteyksille.
Ilmoitetut protokollakohtaiset sisäiset välityskyvyt ovat tosin kovia,
esimerkiksi vpn-tunnelien maksimiläpäisykyvyksi ilmoitetaan viisi megabittiä
sekunnissa. Palomuurin kokonaiskuormitus on kuitenkin monien liikennetyyppien
summa, ja Firebox 700 jäi kaikissa mittauksissa testijoukon häntäpäähän.
Watchguard Firebox 700
Hinta: 3 160 €
Valmistaja: Watchguard Technologies,
www.watchguard.com
Lisätietoja: Netmedia Finland, puh. (06) 3181 300, www.netmedia.fi
Lyhyesti: Kevyen luokan palomuuri, jonka erityisvahvuutena on selkeä graafinen
liikennediagnostiikka.
Zyxel Zywall 100
Ulkoasultaan hienostunut, hopeanharmaa Zywall 100 on liitännöiltään vertailun
keskitasoa monipuolisempi laite. Kolmen ethernet-portin lisäksi siinä on paikka
myös 802.11-perheen langattomalle lähiverkkokortille, jonka avulla voi toteuttaa
vaihtoehtoisen sisäverkon. Lisäksi siinä on kaksi sarjaporttia. Toiseen voi
liittää hallintakonsolin, toisella voi muodostaa modeemia käyttävän varatien
internet-yhteydelle.
Zywall 100 poikkeaa hallinnaltaan vertailun muista tuotteista selvästi. Ohjelmia
on kaksi, merkkipohjainen ja selaimella käytettävä. Käsikirja opastaa käyttämään
ensisijaisesti merkkipohjaista hallintaohjelmaa, mutta sillä ei saa yksin tehtyä
kaikkia laitteen käyttöönottoon tarvittavia asetuksia.
Ratkaisu on rasittava, ja hallintaohjelmat olisi syytä yhdistää.
Selainhallinnalla oli ikävä tapa jumiutua satunnaisten sivujen kohdalla, jolloin
ainoa ratkaisu oli kirjautua hallintaan uudelleen.
Normaali palomuurin toiminnallisuus on Zywallissa kyllä kunnossa
sisällönsuodatuksen yleisimpiä toimintoja myöten, eikä dokumentointikaan ole
aivan heikoimpia. Hallinnan käyttöliittymän epäjohdonmukaisuus ja horjuvuus sekä
laajennusoptioiden vähyys pudottaa Zywall 100:n kuitenkin armotta testin
peränpitäjien joukkoon.
Zyxel Zywall 100
Hinta: 2 490 €
Valmistaja: Zyxel, www.zyxel.com
Lisätietoja: Zyxel, puh. (09) 4780 8400, www.fi.zyxel.com
Lyhyesti: Pk-yritykselle suunnattu monipuolinen palomuuri, jonka jotenkin
haparoiva toteutus vesittää hyvän yrityksen.