Traffic Inspector и конкуренты: кто кого?
В предыдущей нашей статье были рассмотрены основные возможности системы Traffic Inspector, включая прокси-сервер, SMTP-шлюз, правила тарификации, сетевую защиту, балансировку нагрузки, а также учет и фильтрацию трафика. Теперь мы бы хотели сравнить функциональность Traffic Inspector с возможностями аналогичных комплексных решений для управления ИТ-инфраструктурой.Несмотря на большое количество весьма качественных прокси-серверов (например, Handycache) и систем учета трафика (таких как BWMeter и Internet Access Monitor), большинство из них являются, по сути, узкоспециализированными продуктами и решают, как правило, одну-две задачи. Между тем действительно комплексных решений, которым можно полностью доверить управление сетевой активностью, не так уж и много. Наиболее известные из них (помимо Traffic Inspector) — это Kerio Control, Lan2net, UserGate и Microsoft ForeFront TMG, разработка и продажа которого, к сожалению, прекращена в 2012 году. О них мы и поговорим.
Kerio ControlKerio Control (ранее WinRoute Firewall) — это комплексное решение в области безопасности, объединяющее несколько функций — в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Главной особенностью Kerio Control является наличие системы обнаружения и предотвращения вторжений (IDS/IPS), основанной на промышленном стандарте Snort. Система классифицирует и останавливает атаки на серверы, приложения и компоненты инфраструктуры.Одновременная поддержка IPv4 и IPv6, отслеживание подключений (SPI), лимит подключений, антиспуфинг, инспекция протоколов, мастер настройки политик трафика, сервер DHCP, DNS-ретранслятор, черный список IP-адресов, анализ истории сетевой активности, большое количество гибко настраиваемых отчетов, предупреждения по Email, аутентификация пользователей через Kerberos/Active Directory/Open Directory/прокси/NTLM, полная поддержка VPN и NAT, блокировщик P2P-сетей, интегрированный антивирус Sophos, балансировка нагрузки и QoS, шейпер трафика, мощные функции администрирования, поддержка 15 языков интерфейса.Кроме того, продукт имеет сертификат ICSA в категории «корпоративный брандмауэр».Резюме: очень мощное и гибкое комплексное решение от одной ведущих компаний в этой области. Недостаток, пожалуй, только один — высокая цена. Серверная лицензия на 5 пользователей (включая 1 год техподдержки) обойдется почти в 14 тыс. рублей, в то время как такая же лицензия на Traffic Inspector стоит 5900 руб.Lan2net Продукт Lan2net разрабатывается компанией ООО «НетСиб» с 2004 года и представляет собой программный фаервол для организации безопасного доступа в Интернет, контроля и подсчета трафика, защиты сети. Решение обладает следующими функциями: •Встроенный NAT для подключения локальной сети к Интернету и оперативной обработки сетевого трафика.•Функция DNS Forwarder, позволяющая быстро произвести централизованную настройку параметров сети, а также корректировать ее работу незаметно для пользователей.•DHCP-сервер для автоматического выделения IP-адресов, что позволяет облегчить работу по развертыванию локальной сети предприятия.•Перенаправление соединений на указанный порт и/или IP-адрес для организации доступа к ресурсам локальной сети из Интернета.•Слежение за информацией, передаваемой из локальной сети предприятия через Интернет (электронная почта, Mail.Ru Агент, социальные сети, ICQ). Сохраняются все POST-запросы, история переписки, отправленные файлы, электронные письма, включая вложения.•Блокировка доступа к сайтам в Интернет по URL-адресам.•Подсчет трафика.•Ограничение скорости для группы компьютеров или пользователей с равномерным распределением пропускной способности канала между членами группы.•Мониторинг соединений в реальном времени.•Система сбора статистики на базе встроенного веб-сервера и составление отчетности.Резюме: Хорошая и недорогая система для малого и среднего бизнеса. Однако в ней отсутствуют некоторые функции, необходимые крупным компаниям со сложной ИТ-инфраструктурой, например, полная поддержка VPN и SIP, сертификат соответствия ФСТЭК, клиентский агент и ряд других, а встроенный NAT все равно работает медленнее, чем эталонный NAT от Microsoft.
Usergate UserGate — это комплексное решение для подключения пользователей к сети Интернет, обеспечивающее полноценный учет трафика, разграничение доступа и предоставляющее встроенные средства сетевой защиты. UserGate позволяет тарифицировать доступ пользователей к сети Интернет, как по трафику, так и по времени работы в сети. Администратор может добавлять различные тарифные планы, осуществлять динамическое переключение тарифов и регулировать доступ к ресурсам Интернет. Встроенный межсетевой экран и антивирусный модуль позволяют защищать сервер UserGate и проверять проходящий через него трафик на наличие вредоносного кода.UserGate состоит из нескольких частей: сервер, консоль администрирования (UserGate Administrator) и нескольких дополнительных модулей.Сервер UserGate предоставляет доступ в сеть Интернет, осуществляет подсчет трафика, ведет статистику работы пользователей в сети и выполняет многие другие задачи.Консоль администрирования UserGate — это программа, предназначенная для управления сервером UserGate. Консоль администрирования UserGate связывается с серверной частью по специальному протоколу поверх TCP/IP, что позволяет выполнять удаленное администрирование сервера.Кроме того, UserGate включает четыре дополнительных модуля: «Статистика UserGate», «Веб-статистика», «Клиент авторизации UserGate» и модуль «Контроль приложений».Резюме: Хорошее решение с гибкой модульной архитектурой, но для обеспечения такой же функциональности, как у Traffic Inspector, необходимо приобрести, как минимум, четыре дополнительных модуля, что в итоге обойдется намного дороже, чем одна лицензия на Traffic Inspector. Однако для малых и средних компаний, которым не требуется расширенная функциональность, это решение — одно из лучших на рынке.Microsoft Forefront Threat Management Gateway (TMG) Microsoft Forefront Threat Management Gateway (TMG) позволяет сотрудникам безопасно и эффективно использовать Интернет для работы, защищая их от вредоносных программ и других угроз. Он предоставляет доступ к нескольким уровням постоянно обновляемых средств защиты, включая фильтрацию URL-адресов, поиск вредоносных программ, предотвращение вторжений, брандмауэр на уровне приложений и сети и проверку HTTP/HTTPS, которые интегрированы в единый и простой в управлении шлюз. Продукт обладает следующими возможностями: •Поддержка 64-разрядной архитектуры.•Поддержка IPv6: Web Access Policy: это так называемый «узел конфигурации», в котором находятся все настройки службы веб-прокси, параметры доступа пользователей к ресурсам сети Интернет по протоколам HTTP, HTTPS, FTP-over-HTTP (туннелированный FTP), а также параметры конфигурации модуля проверки пользовательского трафика на наличие вредоносного кода (Malware Inspection).
Модуль Malware Content Inspection для проверки веб-трафика на наличие вредоносного кода. Позволяет инспектировать HTTP-трафик, туннелированный FTP-трафик клиентов веб-прокси, а также трафик исходящих HTTPS-соединений.Подсистема Network Inspection System для обнаружения вторжений на сетевом уровне.
•Поддержка протокола SIP, а также функция VoIP (Voice over IP) NAT Traversal, позволяющая данному типу трафика проходить через шлюзы со службой преобразования сетевых адресов (NAT).•Поддержка протокола SSTP (Secure Socket Tunneling Protocol), позволяющего туннелировать трафик VPN-сеансы внутри обычного протокола HTTP в рамках SSL-сессии. Этот механизм позволяет без проблем устанавливать VPN-соединения вне зависимости от конфигурации межсетевого экрана, веб-прокси сервера или службы трансляции сетевых адресов.•Функция HTTPS Inspection: инспекция HTTP/HTTPS-трафика на наличие вирусного и шпионского кода, а также анализ веб-контента на соответствие корпоративным политикам (фильтрация ресурсов на основе классификации). Функция ISP Link Redundancy: поддержка нескольких интернет-каналов. ISP Link Redundancy позволяет организовать отказоустойчивое подключение к сети Интернет посредством сразу двух ISP-каналов.•Функция Enhanced NAT: возможность трансляции адресов по схеме 1-to-1 NAT.
Функция Email Protection: возможность интеграции с ролью Microsoft Exchange Server 2007 Edge Transport Server почтовой системы Microsoft Exchange Server 2007 для защиты электронной почты от вредоносного ПО и спама на уровне сетевого периметра. Консоль управления Forefront TMG обладает всем необходимым для настройки данного функционала.Резюме: очень мощная и фундаментальная система от гиганта ИТ-индустрии. Однако есть и ряд недостатков (куда ж без них): установить ее можно только на ОС Microsoft Windows Server 2008×64, нет поддержки расширенной маршрутизации, биллинга и контентной фильтрации, а также сложная схема лицензирования, развертывания и обновления. Но это еще полбеды: в 2012 году Microsoft официально прекратила разработку и продажу данного решения, а основная поддержка закончится в апреле 2015 года, поэтому делать ставку на данную систему весьма рискованно.
Чем же хорош Traffic Inspector? Система Traffic Inspector — это комплексный продукт, обладающий широким диапазоном функциональных возможностей и устраняющий многие недостатки, присущие аналогичным решениям: •Сертифицированный биллинг. Система биллинга Traffic Inspector имеет сертификат соответствия связи, что гарантирует исключительную точность расчетов (с точностью до байта). Подсчет трафика в программе происходит по каждому пользователю, причем вы сами определяете единицу учета, лимиты, кредиты, блокировки, фильтры и расписания. Существует возможность учитывать служебные заголовки коммуникационный пакетов, служебный TCP-трафик, заголовки Ethernet-пакетов.•Расширяемость. Интеграция новых функциональных возможностей посредством подключения модулей расширения•Возможности расширенной маршрутизации. Система управления маршрутизацией Advanced Routing позволяет направить трафик на разные каналы доступа, в том числе на спутник. Поддерживается до 32 внешних сетевых интерфейсов.•Наличие собственного API, что позволяет обращаться к функционалу Traffic Inspector из внешних сценариев и программ.•Наличие сертификата Федеральной служба по техническому и экспортному контролю (ФСТЭК), который является обязательным требованием для внедрения продукта в госструктурах, поэтому Traffic Inspector используется в МЧС России по Волгоградской области, Государственном космическом научно-производственном центре имени М.В. Хруничева и ряде других государственных учреждений.•Используется реализация NAT от Microsoft, обладающая самой высокой производительностью в своем классе.•Доступная цена: минимальная лицензия на 5 учетных записей стоит всего 4900 руб.
Есть у Traffic Inspector и не столь очевидные преимущества перед конкурентами, например:
•Многие аналогичные продукты некорректно подсчитывают трафик при работе через прокси-сервер. Прокси-серверы не учитывают заголовки пакетов и служебный TCP-трафик, что приводит к занижению результата на 5–15%. Traffic Inspector правильно учитывает трафик во всех случаях, в том числе и при работе через свой прокси-сервер, SOCKS и SMTP-шлюз.•При кэшировании HTTP-контента зачастую сложно подобрать оптимальные параметры работы кэша. Желание максимально сэкономить трафик приводит к проблемам просмотра быстро обновляемых ресурсов. В Traffic Inspector реализована уникальная возможность, позволяющая пользователям самостоятельно переключать режим работы кэша. Благодаря уникальному алгоритму работы использование кэша в Traffic Inspector в среднем эффективнее на 25–35%.
В общем и целом, мы можем смело утверждать, что по соотношению «цена/качество» Traffic Inspector является одним из лидеров рынка систем управления корпоративной информационной инфраструктурой и сетевой безопасности. Ну, а окончательный выбор по-прежнему остается за ИТ-директорами и простыми пользователями.