コンサルティング・トレーニング 会社案内 お問い合わせ

HOME > 中小企業向けシスコ製品の特徴 > シスコvsジュニパー UTM比較

<レポート>中小企業向けシスコ製品の特徴について

シスコvsジュニパー UTM比較 2009年11月13日 PDF [1.0MB]

  • 要約
●Cisco vs Juniper UTM 機能比較
小規模拠点に必要なセキュリティ機能を統合した機器(UTM)について整理・比較した。

【結果】
中小企業のネットワークを保護するために必須の機能は以下の4点に大別できる。
  ①ファイヤウォール
  ②IDS/IPS
  ③アンチウィルスなどのコンテンツセキュリティ
  ④ボットネット対策

必須機能をバランスよく備え、低価格で提供できるのは Cisco ASA5505である。

●Cisco vs Juniper UTM 性能比較
UTMは企業ネットワークに求められるセキュリティ機能を包括的に提供するものであり、
複数の機能を組み合わせて利用することに意味のある製品である。
従って、UTMの性能を評価する際には、複数機能を同時利用した場合の、実行性能を
把握する必要がある

【結果】
Cisco ASA5505はファイヤウォール、VPN、IDS/IPSをそれぞれ専用のハードウェアで分散処理する
構造となっており、複数機能を組合わせて利用するシチュエーションにおいて、非常に高い
価格vs性能比を発揮する。

UTMメーカー各社は性能向上のために分散処理のアーキテクチャを導入し始めているが、
ローエンド製品での分散処理を実現しているのはCisco ASA5505だけ。



pagetop


Cisco vs Juniper UTM 機能比較 小規模拠点に必要なセキュリティ機能を統合した機器(UTM)について整理・比較した。 結果 中小企業のネットワークを保護するために必須の機能は以下の4点に大別できる。  ①ファイヤウォール  ②IDS/IPS  ③アンチウィルスなどのコンテンツセキュリティ  ④ボットネット対策必須機能をバランスよく備え、低価格で提供できるのは Cisco ASA5505である。 主要機能比較表 ファイヤウォール IPSec-VPN SSL-VPN IDS/IPS アンチウィルス アンチスパム Webフィルタ ボット検知 価格 備考 機能選択の目安→ 必須機能 必須機能* 必須機能 顧客要件に応じて選択 顧客要件に応じて選択 Cisco ASA5505 ○(10ユーザまで) ○(*1) ○(*2) × × × × ○ \73,200 ASA5505-BUN-K9 (*5) Cisco ASA5505FW 50ユーザ ○(50ユーザまで) ○(*1) ○(*2) × × × × ○ \103,920 ASA5505-50-BUN-K9 (*5) Cisco ASA5505FW ユーザ無制限 ○ ○(*1) ○(*2) × × × × ○ \122,400 ASA5505-UL-BUN-K9 (*5) Cisco ASA5505FW 50ユーザAIP-SSC ○(50ユーザまで) ○(*1) ○(*2) ○ △(*4) × × ○ \313,080 ASA5505-50-AIP5-K9 (*5) Cisco ASA5505FW ユーザ無制限AIP-SSC ○ ○(*1) ○(*2) ○ △(*4) × × ○ \417,600 ASA5505-U-AIP5P-K9 (*5) Juniper SSG 5 Base ○ ○(*3) × × × × × × \140,000 SSG-5-SB Juniper SSG 5 BaseDIライセンス ○ ○(*3) × △(*7) × × × × \248,400 SSG-5-SH-BT \200,000NS-DI-SSG5-3 \48,400 (*6) Juniper SSG 5 BaseAV,DI,WF,ASライセンス ○ ○(*3) × △(*7) ○ ○ ○ × \449,800 SSG-5-SH-BT \200,000NS-SMB-CS-SSG5-3 \249,800 (*6) (*1) 標準では10トンネルまで。セキュリティプラスライセンスにより最大25トンネルへ拡張可能 *IDS/IPSはDMZがある場合に必須 (*2) 標準では2ピアまで。SSL VPNピアライセンスにより最大25ピアまで拡張可能 (*3) 標準では25トンネルまで。Extentedライセンスにより最大25トンネルへ拡張可能 (*4) IDS/IPSの機能にて代表的なウィルスに対する検知、防御が可能なため△とした (*5) Cisco製品の価格は、ダイワボウ情報システム株式会社のカタログ掲載価格を表示 (*6) 3年分のライセンス価格を表示 (*7) Juniper SSGのDeep Inspection機能で、IDS/IPSに近い動作が可能なため△とした。詳細は裏面を参照 セキュリティ対策 ①ファイヤウォール ③アンチウィルスなど ウィルス、スパムメール、フィッシングなどは、従来のファイヤウォールやIDS/IPSだけでは防御することが難しい。なぜなら、これらの不正行為は、E-MailやWebなど通信としては正常な手段を用いるからである。 ファイヤウォールの基本は、内部から外部への通信のみ許可し、外部から内部方向への不正な侵入を拒否することである。 従って、公開用のWebサーバなど、外部からのトラフィックを遮断されては困るもの(外部から接続できなければ用を成さないもの)は、ファイヤウォールの内側に配置することは出来ない。 そこで、通信の内容(コンテンツ)を精査して、不正な行為を検知・除去する仕組みが必要となる。 方法としては、①クライアントPC側での対策と②ネットワーク側での対策がある。 通常、外部からアクセス可能な特別なエリア(DMZ)を作って、公開サーバーなどを配置する。(外部からDMZへの通信は許可する) ①PC側での対策は必須である。なぜなら、USBメモリーなどネットワークを経由しない手段でウィルスなどに感染する可能性も考慮しなければいけないからである。 ②ネットワーク側でも不正なコンテンツを取り除くことで、無駄なトラフィックを削除できるし、2重の防御となるため、より安全になることは間違いないが、PC側で対策が行われているのであれば、ネットワーク側での対策は必須ではないと言える。 ②IDS/IPS ④ボットネット対策 DMZは外部からのアクセスが可能なエリアであり、不正な攻撃を受けるリスクがある。 様々なセキュリティ対策を行っていても、PCに不正なソフトウェアが仕込まれてしまう可能性を完全に排除することは出来ない。PCにボットが仕込まれると、利用者には気づかれずに管理サーバーと通信し、クレジットカード番号など機密情報を奪取されたり、知らずに不正行為に加担させられている場合がある。 このような場所では、IDS/IPSを用いてトラフィックの振る舞いを監視し、不正侵入や情報奪取などの行為を検知・防御する必要がある DMZ以外でも、ファイヤウォールだけでは防げない攻撃を防御する目的でIDS/IPSを用いる場合があるが、後述するアンチウィルス等と同じ理由で、ここでは必須の対策とはしていない ボットネット対策として有効な手段は、ネットワーク側でボットの通信を検知することである。今後の企業ネットワークにおいては、必須の機能と言える。 Cisco vs Juniper UTM 性能比較 UTMは企業ネットワークに求められるセキュリティ機能を包括的に提供するものであり、複数の機能を組み合わせて利用することに意味のある製品である。 従って、UTMの性能を評価する際には、複数機能を同時利用した場合の、実行性能を把握する必要がある。 結果 Cisco ASA5505はファイヤウォール、VPN、IDS/IPSをそれぞれ専用のハードウェアで分散処理する構造となっており、複数機能を組合わせて利用するシチュエーションにおいて、非常に高い価格vs性能比を発揮する。 UTMメーカー各社は性能向上のために分散処理のアーキテクチャを導入し始めているが、ローエンド製品での分散処理を実現しているのはCisco ASA5505だけ。 UTM性能比較 測定構成 カタログスペック 実測性能(354Byte) ファイヤウォールNAT ファイヤウォールNATVPN Cisco ASA5505AIP-SSC FW : 150MbpsVPN : 100MbpsFW+IPS : 75Mbps 200Mbps 以上 140Mbps Juniper SSG 5 FW : 160MbpsVPN : 40Mbps 90Mbps 36Mbps ・ファイヤウォール、NAT、IPSec-VPNを同時に利用した場合の性能を測定した ・インターネットの平均パケットサイズである354Byteのトラフィックを使用している ・FW+NATとIPSec-VPNのトラフィックを50:50の比率で流し、パケット損失なく転送できる最大の帯域を測定した ・測定値は両方向の合計帯域を示す 補足: 各社 UTM 性能向上の工夫 Cisco ASAシリーズ Fortinet FortiGateシリーズ 複数の専用ASICを搭載し、処理を分散することで性能低下を防いでいる。 Modular Policy Framework (MPF)と呼ばれる仕組みによって、IDS/IPSを通す必要のあるトラフィックだけを識別するため、無駄に処理能力を消費せずにすむ。 ・FortiASIC NP2 → FW, VPN, IPS機能を担当 ・FortiASIC CP6 → コンテンツセキュリティ を担当 ローエンドのUTMでこのように高度な分散型アーキテクチャを採用しているのは、Cisco ASA5505だけ。 ただし、対応しているのは、 FortiGate-620B / 310Bなど大規模向け製品のみであり、中小規模向け製品では対応していない。 SonicWall NSAシリーズ マルチコアCPUを搭載したアプライアンスで、CPUの負荷分散を行うことで性能低下を防いでいる。 また、ソフトウェア側でも、パケットの再構築が不要なインスペクション方式(RFDPI)の採用により、CPU負荷を低減している。 ただし、マルチコアに対応しているのは大中規模向けのNSAシリーズだけであり、小規模向けのTotalSecureシリーズは対応していない。 Juniper SSGシリーズ 特に性能低下の工夫について、公開された情報はない。 内部構造は機種によって異なると思われるが、SSG 5に関しては、複数機能を組合わせて利用すると大きく性能が低下することから、分散処理は行われていないと推測できる。 補足: その他 Juniper SSG のDeep Inspection 機能について IPS監視ツールについて Juniper SSGのDeep Inspection機能について、一部の資料ではIDS/IPSとして記載されている場合があるが、本来は異なる機能である。 セキュリティ機器の運用においては、現在の状態を的確に認識し異常を素早く検知するための視覚情報が、非常に重要である。 Deep Inspectionはファイヤウォールの機能拡張であり、Cisco ASA5500やISRにも(IDS/IPSとは別に)同様の機能が実装されている。 Cisco ASA5505 SSGのDeep Inspectionでは、シグニチャをグループ化した「アタックグループ」をファイヤウォールのポリシーに適用することで、シグニチャで定義されたトラフィックを検知し、通知や破棄などのアクションを行う。 Cisco ASA5505には無償の管理ツール(IPS Manager Express)が用意されており、攻撃の有無や、攻撃を受けた際の危険度などが、視覚的に判断できる。 従って、通常、適用されるのは一部のシグニチャだけであり、特定の攻撃に対して時限的に備える用途を想定していると思われる。 つまり、流行中の攻撃やワームなどを管理者が常に把握し、適宜に適切な設定を行う必要があるので、専任の担当者がいない中小企業には.向きな機能である。 Juniper SSG 5 Juniper SSG 5には攻撃を視覚的にとらえるツールが用意されておらず、現状が安全な状態なのか?危険な攻撃を受けている状況なのか、画面を見てもわからない 対してIPSは、多くのシグニチャを同時に適用するのが一般的であり、.特定多数の攻撃を検知し、継続的に防御する機能であるため、中小企業でも導入し易い。