Kompleksowa ochrona sieci małych i średnich

Kompleksowa ochrona sieci małych i średnich

Kompleksowa ochrona sieci małych i średnich przedsiębiorstw w oparciu
o urządzenia ZyWALL UTM firmy ZyXEL Communication.
Termin UTM (ang. Unified threat management) po raz pierwszy został przedstawiony i szeroko
opisany przez Charles’a J. Kolodgy, dyrektora działu badań w zakresie zabezpieczeń internetowych w firmie
IDC (doc #33997). Według Kolodgy’ego technologia UTM określa produkty, w których zaimplementowano
wielowymiarowe mechanizmy bezpieczeństwa. Aby produkt był zgodny z technologią UTM, musi posiadać co
najmniej wbudowany firewall, sondę IDS/IDP, silnik antywirusowy i antyspam oraz filtry treści URL.
Na przestrzeni ostatnich lat wraz z pojawieniem
się nowych możliwości wynikających z dynamicznego
rozwoju Internetu pojawiły się nowe nadużycia i
zagrożenia. Dziś już nikogo nie trzeba przekonywać, że
przyłączenie do globalnej sieci bez jakiegokolwiek
zabezpieczenia jest ruchem co najmniej nierozważnym.
Ilość i różnorodność zagrożeń wymaga od
administratorów
sieci
sporej
wiedzy,
a
od
przedsiębiorstw dużych nakładów finansowych. Z jednej
strony możemy wyróżnić duże firmy i instytucje
świadome zagrożeń z obszernymi zasobami IT, z
drugiej zaś, firmy sektora SMB z ograniczonym
budżetem IT. Bezpieczeństwo w małych i średnich
firmach jest istotnym zagadnieniem, ponieważ są one
tak samo narażone na ataki, jak wszystkie inne firmy.
To co dla dużej instytucji może być niegroźnym
naruszeniem
polityki
bezpieczeństwa,
dla
nieodpowiednio zabezpieczonych małych firm, może okazać się katastrofalną w skutkach awarią. Produkty
dedykowane dla dużych przedsiębiorstw są w tym przypadku nieadekwatne w skali dla sieci małych i średnich
przedsiębiorstw. Wdrożenie mechanizmów gwarantujących odpowiedni poziom zabezpieczeń musi być łatwe i
tanie, a administracja takim systemem prosta i maksymalnie zautomatyzowana.
Rozwiązaniem problemu, dedykowanym między innymi dla segmentu SMB, są zintegrowane firewalle
UTM. UTM to stosunkowo nowa grupa rozwiązań. Pojawiła się na rynku dopiero w 2003r. ale z uwagi na
swoje zalety takie, jak: kompleksowość ochrony, prostota użycia oraz przystępna cena idealnie trafia
w potrzeby małych i średnich sieci.
System UTM obok podstawowych funkcji takich, jak: firewall i kontrola dostępu, pozwala wykryć i
zablokować wirusy, ataki, niechcianą pocztę, czy dostęp do stron o niepożądanej treści. Firma ZyXEL
dodatkowo wyposaża swoje urządzenia serii ZyWALL w funkcjonalność koncentratora VPN, mechanizmy
zapewniania odpowiedniego poziomu jakości usług QoS, czy równoważenia obciążenia HA/LB (High
Availability i Load-Balancing).
Obecnie UTM zdobywa rynek kosztem dotychczasowych rozwiązań firewall/VPN oraz innych
zabezpieczeń realizowanych punktowo.
Firewall, dlaczego ściany ogniowe to za mało?
Podstawowym elementem ochrony sieci wewnętrznej przed zagrożeniami pochodzącymi z zewnętrz
jest firewall. Obecnie najbardziej rozpowszechnionym modelem działania zapór ogniowych jest tzw. Statefull
firewall. Jego działanie polega na filtrowaniu przechodzącego przez niego ruchu na poziomie pakietów IP z
kontrolą stanu sesji TCP/IP.
Filtrowanie pakietów polega na monitorowaniu informacji zawartych w nagłówkach pakietów IP (adresy IP,
porty protokoły, itp.) oraz, w przypadku firewalli SPI, śledzeniu stanu sesji (tablice stanów) przechodzących
przez firewall. Przynależność pakietu do danej sesji odbywa się na zasadzie oceny numeru sekwencyjnego
TCP.
Skoro odpowiednio skonfigurowane reguły w jasny sposób określają dozwolone i niedozwolone ruchy,
dlaczego więc wprowadzono dodatkowe mechanizmy takie, jak systemy wykrywania włamań IDP/IDS?
Sam firewall nie jest w stanie wychwycić i zablokować ataku w sytuacji, gdy ten jest prowadzony w ramach
poprawnie otwartej sesji. Zapora ogniowa nie ma możliwości śledzenia ruchu w ramach aplikacji i kontekstu
przesyłanych danych.
Jeżeli nasz serwer WWW jest dostępny w Internecie, to firewall musi przepuszczać ruch do niego, a w
konsekwencji również atak na ten serwer WWW będzie przepuszczony przez klasyczny system zaporowy.
Jeżeli administrator nie dba o aktualizację systemu operacyjnego serwera nie instalując najnowszych
poprawek, może to skutkować nieautoryzowanym dostępem do chronionych danych.
Wyższy poziom bezpieczeństwa IDP/IDS
Systemy IDS/IPS (Intrusion Destection System & Intrusion Prevention System) zaprojektowano przede
wszystkim z myślą o analizie ruchu w warstwie aplikacyjnej. Narzędzia te działają jako uzupełnienie zapór
ogniowych. Ideą funkcjonowania systemów IDS/IPS jest możliwość wykrycia i zablokowania ataku zanim
dotrze on do celu. IDS jest mechanizmem monitorującym i wykrywającym zdarzenie, zaś IPS uczestniczy
aktywnie w przesyłaniu ruchu i może w zależności od określonych reguł zablokować określone pakiety i/lub
sesje. Zasada działania jest podobna jak w systemach antywirusowych, gdzie sonda IDS klasyfikuje dany
przepływ na podstawie bazy wzorów ataków/anomalii. System porównuje dany ruch z zachowanymi
sygnaturami w czasie rzeczywistym.
Baza sygnatur jest uaktualniana na bieżąco. Informacje o bazie sygnatur znajdą Państwo na stronach
mysecurity.zyxel.com. Jest to istotne podczas budowy konfiguracji od początku, szczególnie dla mniej
doświadczonych administratorów. Każda sygnatura jest opisana z wyszczególnieniem informacji dotyczących
odpowiadającemu danemu atakowi systemowi operacyjnemu, platformy oraz stopnia zagrożenia, jakie niesie
dany atak.
Dodatkowo, dzięki mechanizmom IDS/IDP, dziecinnie proste staje się blokowanie aplikacji typu Peer to Peer.
Wystarczy wybrać kategorię P2P i zaznaczyć jako akcję np. Reset Both dla sygnatury P2P eDonkey Server
Login, blokując możliwość korzystania z tej aplikacji.
Raz poprawnie zbudowana konfiguracja reguł IDS/IPS powinna dość dobrze chronić nas przed atakami z sieci
zewnętrznej. O aktualizacji bazy danych sygnatur zazwyczaj dowiemy się z maila wysyłanego przed zespół
ZyXEL’a na adres wskazany podczas rejestracji produktu/licencji. Pobranie nowych sygnatur można
zaprogramować automatycznie.
Przed wyborem urządzenia warto sprawdzić, czy istnieje możliwość backup’owania samych ustawień
IDS/IPS, co jest szczególnie przydatne podczas przenoszenia skonfigurowanych reguł na inne urządzenia
UTM rozlokowane w poszczególnych oddziałach naszej firmy.
O ile urządzenia IDS/IPS mogą wykryć i zablokować znane ataki/robaki/anomalie, które przedostają się do
wnętrza sieci przez firewall, o tyle ataki ukryte w szyfrowanych tunelach np. SSL, SSH często nie są
skanowane.
Skanowanie antywirusowe
Koncepcja UTM definiuje potrzebę skanowania pakietów pod kątem zawartości wirusów/robali na granicy
sieci. Dane są skanowane na bieżąco w czasie rzeczywistym. System wykrywa i eliminuje pojawiające się
zagrożenia, zanim wirus/robal zdąży przeniknąć do istotnych aplikacji biznesowych.
Firma ZyXEL zaimplementowała w swoich firewallach UTM mechanizmy skanowania popularnych
protokołów takich, jak: SMTP, POP3, HTTP i FTP. Administrator ma możliwość zdefiniowania protokołu który
powinien być skanowany. Dodatkowo seria ZyWALL UTM umożliwia skanowanie w locie zarchiwizowanych
plików. Sygnatury wirusów przetrzymywane są lokalnie na urządzeniu. Aktualizacja odbywa się
automatycznie w przedziałach czasowych zdefiniowanych przez administratora lub może być wymuszana
ręcznie. Liczba przetrzymywanych sygnatur też jest ograniczona z racji na ograniczoną pamięć RAM
zainstalowaną w urządzeniu. Sam silnik antywirusowy zaimplementowany na urządzeniu może pochodzić od
jednego ze znanych producentów tradycyjnego oprogramowywania antywirusowego, jak np. Kaspersky czy
Trend Micro
Podstawowa administracja polega na zdefiniowaniu interfejsów, pomiędzy którymi ruch ma być
skanowany, zaplanowaniu harmonogramu aktualizacji bazy sygnatur oraz określeniu mechanizmów
powiadamiania o zdarzeniach. Pliki zawierające szkodliwy kod mogą być kasowane na urządzeniu, lub
przesyłane dalej do użytkownika ze zmienioną sumą kontrolną.
Koniec z niechcianą pocztą
Walka ze spamem opiera się na odpowiedniej analizie nagłówków otrzymanego maila oraz treści
wiadomości. Podstawową metodą jest konfiguracja filtrów statycznych definiowanych na urządzeniu w
oparciu o charakterystyczne wartości przenoszone w nagłówku lub treści wiadomości. Coraz więcej
producentów implementuje w swoich urządzeniach mechanizmy filtrowania poczty na zasadzie scoringu (np.
MailShell), polegające na wycenie punktowej dla każdej wiadomości pocztowej, w zależności od tego, czy
spełnia ona określone kryteria.
Filtry definiowane przez Administratora na urządzeniu mogą bazować na dwóch rodzajach list.
Spersonalizowane czarne listy umożliwiają użytkownikom blokowanie korespondencji z konkretnych adresów
email, domen bądź adresów IP serwerów. Białe listy umożliwiają odblokowanie korespondencji z konkretnych
adresów email mimo blokowania wiadomości od innych użytkowników danej domeny internetowej, bądź
serwera pocztowego. Umieszczenie adresu, nazwy domeny, bądź adresu serwera na białej liście jest
nadrzędne do pozostałych systemów blokujących i filtrujących, zapewniając ciągłość korespondencji z
wybranymi adresatami niezależnie od głównych, automatycznych zabezpieczeń antyspamowych.
Filtrowanie może również bazować na określonych słowach kluczowych znajdujących się w temacie
oraz
treści
wiadomości,
wskazujących
Ocena wiadomości przez MailShell
jednoznacznie na cechy charakterystyczne dla
niechcianej korespondencji. Zarówno pojedyncze
Procedura oceny wiadomości w oparciu o serwer Mailshell
słowa, jak i określone zwroty w połączeniu z
zawiera się w czterech etapach. Pierwszy etap detekcji spamu
analizą domeny i serwera wysyłającego pocztę
opiera się na analizie wpisów w bazie danych MailShell. Jeżeli
wzorzec danej wiadomości już występuje w bazie danych,
pozwalają na automatyczne zaklasyfikowanie
wiadomość z dużym prawdopodobieństwem zawiera treści
wiadomości, jako spam i zablokowanie jej bądź
reklamowe.
dopisania odpowiedniego Tagu w temacie
Silnik SpamRepute to drugi etap filtrowania, który
wiadomości.
określa reputację nadawcy wiadomości. Podczas sprawdzania
Niektórzy producenci, jak na przykład
nadawcy listu MailShell korzysta z zewnętrznych serwerów DNSBL
zawierających wpisy o adresach nadawców, nazw DNS, adresach
ZyXEL,
umożliwiają
określenie
dowolnego
IP serwerów, z których rozsyłany jest SPAM. Dodatkowo
parametru w nagłówku MIME i śledzenia jego
sprawdzane są takie wartości, jak: adresy IP występujące w
wartości. Dzięki analizie poszczególnych pól w
nagłówku, nazwy DNS, fingerprint nadawcy, fingerprint
nagłówku MIME, możemy stwierdzić z jakich
wiadomości. Uzupełnieniem tych atrybutów mających wpływ na
adresów IP jest wysyłany do nas spam i jakie
ocenę nadawcy, jest kraj pochodzenia wiadomości, właściciel
domeny, nazwa serwera oraz urząd rejestrujący nazwę DNS.
serwery
pośredniczą
w
przesłaniu
listu.
Trzeci etap analizy poczty to silnik SpamContent. Analizowane są
Wykorzystując
tą
informację
możemy
tutaj następujące elementy:
zdefiniować
pole
w
nagłówku
MIME
i
•
Pola To i Subject
•
Język wiadomości
odpowiednią akcję, jaką podejmie urządzenie,
•
Kraj pochodzenia
•
Zawartość grafiki
jeśli wartość w tym polu będzie odpowiadała
•
Słownictwo, formatowanie
•
Odnośniki http
tekstu, wzorce słowne
dokonanemu przez nas wpisowi.
•
Format wiadomości, projekt i rozmieszczenie
Filtrowanie poczty na zasadzie scoringu
poszczególnych elementów w treści
na
urządzeniach
UTM
opiera
się
na
wiadomości
mechanizmach
gwarantowanych
przez
Podczas analizy treści wiadomości MailShell wykorzystuje filtry
wyspecjalizowane firmy. Jedną z takich firm jest
bayesa. Filtr tworzy na swój użytek rodzaj słownika, w którym
każdemu z poznanych słów przypisuje odpowiednie
MailShell.
Wykorzystanie
mechanizmów
prawdopodobieństwo wystąpienia tego słowa w wiadomości
filtrowania wiadomości wiąże się jednak z
spamowej. Podczas analizy filtr dzieli wiadomość na pojedyncze
koniecznością wykupienia odpowiedniej licencji
wyrazy i przypisuje im odpowiednie prawdopodobieństwa
na określony czas. W zależności od klasy
otrzymane ze słownika. Na końcu obliczane jest
urządzenia zróżnicowane są ceny licencji.
prawdopodobieństwo całkowite z prawdopodobieństw przypisanych
do pojedynczych wyrazów, na podstawie którego identyfikuje się
Przykładowo licencja dla urządzenia ZyWALL 70
wiadomość. Przy ocenie punktacji implementuje się algorytmy
UTM firmy ZyXEL na 2 lata kosztuje około 300$.
logiki rozmytej, zwiększając w ten sposób prawdopodobieństwo
Mechanizm oceny wiadomości typu mail
poprawnej identyfikacji wiadomości.
scoring polega na przechwyceniu wiadomości
Jedną z tendencji, jakie ostatnio można zauważyć, jest
oraz przesłaniu fingerprintu tej wiadomości do
coraz częstsze wykorzystywanie w wiadomościach spamowych
tekstów w formie grafiki, wplątanie odnośników do stron WWW,
serwera klasyfikującego. Na podstawie bazy
czy manipulacje wartościami pól w nagłówkach wiadomości.
danych
przetrzymywanej
na
serwerach
W takiej sytuacji konieczne jest implementowanie
wiadomość jest oceniana w zakresie od 0 do 100
mechanizmów rozpoznających tricki stosowane przez spamerów.
punktów. Im większa liczba przyznanych przez
Czwarty etap filtrowania wiadomości przez MailShella to
serwer
punktów
tym
większe
SpamTricsk engine. Dodatkowo na tym poziomie identyfikowane
są maile typu pishing mające na celu oszukańcze pozyskanie
prawdopodobieństwo,
że
wiadomość
jest
poufnej informacji osobistej, jak hasła czy szczegóły karty
spamem. Na urządzeniu UTM administrator musi
kredytowej, przez udawanie osoby godnej zaufania.
jedynie
ustalić
próg,
powyżej
którego
wiadomości będą klasyfikowane jako spam.
Rozwiązanie jest proste i ekonomiczne w użyciu. Wiadomości nie są przesyłane do serwera
klasyfikującego, jedynie odciski palca tych wiadomości. Ponadto wymagania stawiane urządzeniom pod
względem zaimplementowania tego mechanizmu nie są wysokie, dzięki czemu cena tych urządzeń jest
utrzymywana na stosunkowo niskim poziomie.
Kto pracuje, a kto plotkuje ?
W środowisku biznesowym filtrowanie stron internetowych powoli zaczyna stawać się koniecznością.
Strata produktywności pracowników wykorzystujących Internet do prywatnych celów, czy zmniejszenie
przepustowości firmowej sieci są tylko prostymi przykładami. Gorzej jeśli na komputerze jednego z
pracowników znajdziemy nielegalne pliki lub oprogramowanie ściągnięte z nielegalnych stron WWW.
Filtrowanie treści stron WWW jest czwartym wymaganym punktem na liście funkcjonalności urządzeń
UTM. Podobnie jak podczas definiowania statycznych filtrów anty-spam, tak i tutaj mamy do dyspozycji białe
i czarne listy. Proste filtry treści opierają się na definicji porcji adresów stron WWW lub słów kluczowych
występujących w adresie URL. Filtr podczas pracy dokonuje porównania wzorca nazwy URL z wprowadzonym
łańcuchem znaków. Jeżeli porównanie daje wynik pozytywny, na ekranie użytkownika zostanie wyświetlona
stosowna wiadomość. Logi świadczące o próbie dostępu do miejsc sieciowych, których adresy URL są
filtrowane, są zapisywane i mogą być wysyłane pocztą elektroniczną. Umieszczenie nazwy domeny, bądź
słowa kluczowego występującego w adresie URL na białej liście jest nadrzędne do pozostałych filtrów
blokujących. Bardziej zaawansowane urządzenia umożliwiają przypisanie każdemu z użytkowników innych
praw dostępu. Dodatkowo różnego rodzaju ograniczenia mogą obowiązywać w określonych odstępach czasu.
Druga metoda wymagająca wykupienia odpowiedniej licencji to popularnie nazywane filtrowanie z
bazy polegające na przeglądaniu
Jak działa filtrowanie w bazie Cerberian (BluaCoat) ?
adresów stron w bazie danych
zawierającej sklasyfikowane adresy
W momencie przechwycenia przez urządzenie UTM żądania URL uruchamiany
URL. Podejście to pomaga zgrupować
jest następujący proces:
strony
webowe
w
przydatne
kategorie, tworzone na podstawie
zawartości
stron,
minimalizuje
dwuznaczność
i
nakładanie
się
kategorii, dzięki czemu zwiększa się
dokładność filtrowania. Mimo, że
filtrowanie z bazy danych jest
dokładne w stu procentach, istnieje
ryzyko, że w tej bazie nie znajdują
się wszystkie pojawiające się na
bieżąco strony.
Utrzymywanie takiej bazy
danych po stronie klienta sektora
SMB jest oczywiście praktycznie
niemożliwe, dlatego urządzenia UTM
korzystają
z
zewnętrznych
komercyjnych baz danych, jak np.
Cerberian
(teraz
BlueCoat).
1) Żądany adres URL jest wysyłany przez agent BlueCoat zainstalowanego
Zgromadzone
w
bazie
dane
na bramie UTM do zewnętrznego serwera (BlueCoat Service Point)
2) W tym samym momencie Agent może:
podzielone
są
na
kategorie,
a. zatrzymać żądanie skierowane do określonego serwera WWW,
administrator systemu może w
b. wysłać żądanie wyświetlania strony i czekać na odpowiedź z
prosty sposób zabronić lub zezwolić
Service Point.
na dostęp pracowników firmy do
3) W momencie otrzymania adresu URL od agenta, Service Point
określonych grup, korzystając z
przegląda lokalną bazę danych (Rating Cache Database).
4) Jeżeli strona została sklasyfikowana, kategoria jest przesyłana do
takich
wyznaczników,
jak
urządzenia UTM.
użytkownik, pora dnia itp. Za
5) Po otrzymaniu kategorii agent sprawdza czy:
każdym razem, kiedy użytkownik
a. kategoria jest odblokowana - sesja HTTP jest nawiązywana.
zechce odwiedzić którąś ze stron
b. kategoria jest zablokowana - wyświetlane jest ostrzeżenie, nazwa
WWW, UTM wyśle zapytanie o
użytkownika, czas i adres są logowane.
6) Jeżeli adres URL nie został znaleziony w bazie, Blue Coat uruchamia
kategorię, po otrzymaniu odpowiedzi
dynamiczny mechanizm oceny zawartości strony w czasie rzeczywistym
sprawdzi, czy dana strona jest w
(Dynamic Real-Time Rating DRTR). Po zaklasyfikowaniu strony
jednej z kategorii zastrzeżonej przez
ponownie wykonywane są punkty 4 i 5
administratora. Niektóre urządzenia
7)
Jeżeli DRTR nie jest w stanie określić klasyfikacji dla danej strony URL,
umożliwiają
wpuszczanie
strona jest klasyfikowana jako nieznana. Jej adres URL jest
przekazywany do modułu DBR (Dynamic Background Rating) w celu
użytkownika na strony należące do
głębszej analizy. Administrator ma możliwość zdefiniowania czy strony
określonej kategorii, z ostrzeżeniem,
niesklasyfikowane („unknown”) mają być wyświetlane, monitorowane
że jego poczynania są logowane do
czy zablokowane.
wglądu dla administratora i kierownictwa.
Bazy URL umieszczane są na serwerach udostępnionych w Internecie. Nie ma potrzeby ściągać
aktualizacji, dzięki czemu wymagania sprzętowe są niewielkie, a rozwiązania takie mogą być stosowane
także w małych biurach.
UTM – same zalety ?
Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami
zabezpieczeń. Posiadają one wiele wbudowanych modułów ochrony, jednak ich funkcjonalność jest
ograniczona. Dlatego przed dokonaniem zakupu należy dokładnie sprawdzić specyfikacje poszczególnych
modułów i ocenić oferowane przez producenta funkcje w stosunku do wymagań stawianych naszej sieci.
Ważną kwestią na jaką należy zwrócić uwagę przed dokonaniem zakupu to parametry wydajnościowe
urządzenia. Głębokie skanowanie pakietów we wszystkich warstwach sieci, wpływa na obciążenie procesora i
pamięci. Konieczność przechowywania baz danych sygnatur ataków i wzorców wirusów dodatkowo zajmuje
znaczną cześć pamięci, co skutkuje spadkiem wydajności przełączania pakietów między interfejsami
urządzenia. ZyXEL wyposaża swoje urządzenia w dodatkowy procesor (np. SecuAsic - Application Specific
Integrated Circuit) i dodatkowe karty pamięci podnoszące wydajność urządzeń.
Aktywacja wszystkich modułów bezpieczeństwa wiąże się z dodatkowymi kosztami wynikającymi z
konieczności zakupu odpowiedniej licencji. Jeżeli wymagane jest np. dynamiczne filtrowanie URL w oparciu o
serwery zewnętrznych partnerów np. BlueCoat, istnieje konieczność wykupienie rocznej licencji na używanie
dobrodziejstwa tej funkcji.
Ta sama reguła dotyczy funkcji zabezpieczeń antywirus, antyspam i IDS/IDP. Za możliwość
otrzymywania subskrypcji i korzystania z zewnętrznych baz danych musimy zapłacić. Warto więc sprawdzić
koszty licencji u poszczególnych producentów i uwzględnić je przed dokonaniem zakupu.
Decyzja o zakupie i wykorzystaniu dodatkowych mechanizmów ochrony powinna być przemyślana, co
często wiąże się z kwestią przetestowania danego rozwiązania. Na szczęście ZyXEL udostępniaja licencje
testowe umożliwiające przetestowanie kompletnego rozwiązania. Tak więc zakup licencji można rozważyć po
dokładnym przetestowaniu rozwiązania po stronie klienta i analizie, które mechanizmy w naszej
infrastrukturze działają poprawnie i powinny być na stałe aktywne.
Trzeba pamiętać, że urządzenia UTM są
ukierunkowane generalnie na ochronę granic sieci. W
kontekście zagrożeń wewnętrznych konieczne jest opracowanie polityki bezpieczeństwa i ewentualnie zakup
dodatkowego oprogramowania eliminującego, chociażby czynnik ludzki. Dostęp do poszczególnych zasobów,
polityka dotycząca haseł czy możliwość przenoszenia wirusów na pamięciach przenośnych muszą być
uwzględnione podczas planowania polityki bezpieczeństwa sieci.
Zintegrowane „bezpieczniki”, mimo pewnych ograniczeń wynikających z samej idei UTM, są tak czy
inaczej doskonałym rozwiązaniem dla małych i średnich przedsiębiorstw, a także dla oddziałów większych
przedsiębiorstw, gdzie brak odpowiedniego zaplecza finansowego oraz technicznego do zarządzania
kompleksowym systemem zabezpieczeń sieciowych jest barierą nie do przeskoczenia. Zakup, instalacja,
konfiguracja i zarządzanie wieloma urządzeniami dostarczonymi przez różnych producentów są czasochłonne
oraz pociągają za sobą znaczne koszty, wynikające z potrzeby przeszkolenia pracowników firmy oraz
konieczności zawarcia kilku umów serwisowych.