Ve volném pokračování našeho seriálu o branách podnikových sítí se podíváme na zoubek zařízení z dílny rakouské společnosti phion. Řada phion M je tvořena čtyřmi zařízeními, které se liší hardwarovou konfigurací, a je primárně určena pro středně velké sítě.

Do redakce dorazil model M3 postavený na procesoru Pentium 4 (3.4 GHz), 2 GB RAM a 120 GB HDD. Nad tímto hardwarem běží phion OS – operační systém vycházející z Linuxu. Výrobcem udávané doporučené zatížení je pět set uživatelů v základním režimu, v případě použití pokročilého zabezpečení obsahu tři sta uživatelů. Datová propustnost firewallu 3,15 Gb/s a propustnost VPN 650 Mb/s.
Zařízení je dodáváno ve skříni o výšce 1U pro montáž do racku. Na čelní straně je umístěný řádkový displej s ovládacími tlačítky, konsole port, dva USB a čtyři ethernet porty 10/100/1000 Mb/s. Pomocí tlačítek a displeje lze zobrazit provozní údaje zařízení, případně provést restart, vypnutí nebo obnovení továrního nastavení.

Architektura

Koncepce zařízení vychází z třívrstvého modelu Box–Server–Service. Vrstva Box zahrnuje fyzickou vrstvu, tedy zejména síťová rozhraní jako taková. Jednotlivé servery se spouští na daném boxu. Komunikují přitom přes nastavené IP adresy. Na serverech mohou běžet konkrétní služby (firewall, antivirus, …).

Administrace

Na rozdíl od ostatních zařízení testovaných v našem seriálu se phion neovládá přes webový prohlížeč. Na přiloženém USB disku je uložena administrační aplikace phion.a, která je určena pro operační systém Microsoft Windows (obr. 1). Pomocí přehledných dialogů umožňuje nastavení všech parametrů zařízení. Alternativně lze zařízení konfigurovat přes příkazovou řádku (CLI), a to buď přes Console port nebo přes SSH.


Obr. 1: Brána phion se neovládá přes webový prohlížeč, ale vlastní administrační aplikaci phion.a
Aplikace phion.a umožňuje paralelní přístup více správců k zařízení, a proto používá systém zamykání jednotlivých ovládacích modulů, aby nedocházelo ke konfliktům mezi správci. Před jakoukoliv změnou je tedy nutno v příslušném modulu stisknout tlačítko Lock a teprve poté aplikace umožní editaci údajů.
V menu Control se nachází osm záložek pro ovládání boxu. Nejdůležitější je záložka Network, kde se nastavují IP adresy fyzických síťových rozhraní a záložka Server (obr. 2), kde může správce zastavovat a spouštět jednotlivé servery a služby. Menu Config slouží k vytváření virtuálních serverů a služeb (obr. 3) a k nastavování jejich parametrů.


Obr. 2: Zde může správce zastavovat a spouštět jednotlivé servery a služby


Obr. 3: Menu Config slouží k vytváření virtuálních serverů a služeb
Na kartě Access Cache lze v řádu sekund odstraňovat problémy s připojením pomocí rozsáhlých možností filtrování podle protokolů, rozsahů cílových nebo zdrojových IP adres, důvodů blokování a mnoha dalších hledisek.
Dodávané USB disky rovněž obsahují všechny binární soubory pro obnovení nebo přeinstalování zařízení během několika minut. Pokud si správce na USB disk uloží také záložní soubor konfigurace, může zařízení přeinstalovat do posledního funkčního stavu jednoduše zasunutím USB disku a restartováním.

Bezpečnostní funkce

Základ bezpečnostních funkcí je tvořen stavovým firewallem a systémem IPS. Firewall umožňuje vytváření komunikačních pravidel, tedy definici zdrojové IP adresy/sítě, cílové IP adresy/sítě, komunikačního protokolu a akce. Pozoruhodná je funkce Rule Tester, která umožňuje simulovat komunikaci z určité zdrojové IP adresy a portu na cílovou IP adresu a port. Následně tester ukáže, které pravidlo by firewall na daný paket aplikoval (obr. 4). K bezpečnostní výbavě patří rovněž antispamový filtr, HTTP a SSH proxy. Volitelně lze licencovat antivirové funkce (pro web, FTP a e-mail), filtraci URL (IBM ISS Proventia web filter) a filtr P2P, Skypu a instant messagingu. Ke zvláštní výbavě patří Secure Web Proxy, která umožňuje transparentní antivirovou kontrolu zabezpečeného HTTPS provozu.


Obr. 4: Funkce Rule Tester umožňuje simulovat fungování firewallu při
komunikaci z určité zdrojové IP adresy a portu na cílovou IP adresu a port
Pozastavíme se ještě u zabezpečení elektronické pošty, protože její funkčnost a ochrana proti spamu a virům je ve firemním prostředí klíčová. Zařízení disponuje funkcí Mail Gateway, která může filtrovat nejen SMTP, ale i POP3 komunikaci. O ochranu před spamem se stará oblíbený open source software SpamAssassin.

High availability

Každé síťové zařízení se může porouchat a výpadky obvykle firmám způsobují nemalé škody. Phion M3 podporuje režim High Availibility, v němž může jedno zařízení zálohovat funkčnost druhého a v případě poruchy ho zastoupit. To vše probíhá na úrovni virtuálních serverů a je možné sestavovat sofistikované kombinace více fyzických zařízení. Můžeme mít například čtyři služby rozděleny na dvě zařízení tak, že každé z nich primárně poskytuje dvě služby a zbývající dvě pouze zálohuje. Dochází tak nejen k záloze funkčnosti, ale i k rozložení zátěže.

Síťové funkce

Zařízení je opravdu nabité nejrůznějšími síťovými funkcemi, jako je VPN server, DHCP server/relay, DNS server/relay, FTP a SSH gateway. Vestavěný VPN server umožňuje připojení vzdálených klientských stanic (např. obchodníků) i propojení dvou firemních sítí (např. poboček). K připojení stanice přes VPN lze použít jednak aplikaci netfence VPN Connector, která je dostupná pro Windows, Linux i MacOS, případně aplikaci netfence entegra global client, která je určená do centrálně spravovaných síťových prostředí a je dostupná pouze pro operační systém Windows. Kromě toho lze pro VPN připojení využít IPSec. Podobně lze také propojit dvě firemní sítě – pomocí dvou zařízení phion, nebo pomocí jiného zařízení na základě IPSec. VPN spojení je možné šifrovat šesti různými algoritmy (DES, 3DES, AES–128, AES–256, Blowfish, CAST).
DHCP server umožňuje nastavovat rozsahy přidělovaných IP adres a rezervovat určité IP adresy konkrétním fyzickým adresám. Kromě toho lze nastavit službu DHCP relay agent, která přesměruje DHCP požadavky například na server v jiném segmentu sítě a předá odpověď zpět klientské stanici.
Zařízení uchovává podrobné údaje o provozu a změnách nastavení. Pomocí aplikace phion.a je možné záznamy logu filtrovat a vykreslovat statistiky.

Ceny a podpora

Základní cena zařízení se pohybuje kolem 5 400 eur, což zahrnuje neomezené množství chráněných IP adres, podporu VPN propojení dvou míst (site-2-site), caching proxy a antispam.
Balíčky funkcí URL Filter, Anti-Virus, P2P/IMFilter a SSL Scanning jsou k dispozici za ceny od necelých dvou tisíc eur na zařízení. K zařízení lze zakoupit podporu na jeden, tři, čtyři nebo pět roků. Podpora zahrnuje upgrade firmwaru a nárok na výměnu zařízení v případě poruchy nebo opravu. Dále lze předplatit i NBD podporu, která zaručuje okamžité dodání náhradního zařízení, obvykle následující pracovní den po nahlášení poruchy.
Na přiloženém USB disku je kromě aplikace phion.a kompletní dokumentace zařízení ve formátu PDF. Administrační příručka v angličtině čítá přes šest set stran s popisem funkcí, obrázky a jednoduchými příklady konfigurace.

Shrnutí

Zařízení phion M3 je určeno do středně velkých organizací, které to s IT myslí vážně. Poskytuje velké množství funkcí a celou řadu pokročilých nastavení. Pro začlenění zařízení do sítě a plné využití jeho potenciálu je třeba mít určité zkušenosti se správou sítí a serverů, avšak zdatný administrátor si s instalací určitě poradí.