Billiga brandväggar brukar varken kunna stoppa avancerade intrångsförsök, virus, spam eller trafik med olämpligt innehåll. Men sedan några år har brandväggar med så kallat utm-skydd sjunkit till riktigt trevliga prisnivåer. Utm står för unified threat management och är ett mycket vagt definierat begrepp. I sin vidaste mening handlar det om att ta ett helhetsgrepp om skyddet mot allsköns otyg och samla det på ett ställe.
Alla brandväggar i det här testet har intrångsskydd, ofta kallat ips eller idp. Om en klassisk enkel paketfiltrerande spi-brandvägg enbart tittar på paketnivå i trafiken, kollar ips/idp på applikationsnivån. Den kan se avvikelser i trafiken som en enklare brandvägg missar och på så sätt hindra olika attacker och intrångsförsök som är inbäddade i till synes normal och legitim trafik. Ips/idp bygger i de flesta fall på signaturer, men kan även arbeta på andra sätt.
Alla brandväggar i testet utom en, Cisco SA520, kan göra realtidsskanning efter virus i trafiken som passerar. Cisco arbetar på ett annat sätt med virusskydd, där brandväggen i stället håller koll på virusskyddet i klientdatorerna. Endast klienter med uppdaterat virusskydd tillåts ta emot trafik. Det här innebär att prestandamätningarna för Cisco SA520 inte riktigt kan jämföras med de övriga, men resultaten visar ändå på en poäng i Ciscos arbetssätt: realtidsskanning kostar ofta väldigt mycket prestanda i förhållande till vad det ger i säkerhet. Vi anser att virusskanning i brandväggen i de flesta miljöer knappast kan ersätta lokalt virusskydd i varje klient, inte så länge det finns bärbara datorer som både används innanför och utanför brandväggens skydd. Värt att notera är att även Zyxel USG-100 kan hålla koll på klienternas virusskydd.
Söka i realtid har poänger
Även om realtidsskanning inte innebär att man kan ta bort lokalt virusskydd i klientdatorer, anser vi att det kan ha sina poänger. Många företag har inte snabbare internetuppkoppling än att flera av brandväggarna i testet faktiskt kan virusskanna trafiken utan att sänka prestanda nämnvärt. Även om man också har ett virusskydd lokalt i klienterna känns det extra tryggt att inte i onödan släppa in skadlig kod i nätverket.
De flesta av brandväggarna i testet erbjuder även olika former av skräpfiltrering och innehållsfiltrering. Det förstanämnda kan vara en bra hjälp, men också vara lurigt om du vill ha full koll på vilken typ av skräp det är du får. Slänger brandväggen bort misstänkt spam tappar du den informationen. Innehållsfiltrering är vi tämligen skeptiska mot – den har ofta en tendens att sila mygg och svälja kameler.
Vi har i det här testet koncentrerat oss på de två, i våra ögon, mest intressanta formerna av skydd: intrångsskydd och virusskydd. Vi har tittat på hur enkelt det är att komma igång med de skydden och hur det påverkar prestanda.
Scenario
Ett litet företag med 12 anställda behöver ny brandvägg. Företaget har en person som sköter it-strukturen, som består av fyra servrar plus de anställdas datorer. Man vill köra utm-skydd för att minimera arbetet med att säkra av enskilda datorer, och man behöver två vpn-tunnlar. Budgeten för brandväggen ligger på 10 000 kronor för inköpsåret.
