网络安全设备评测：谁是最好的防火墙

flb_2001

来源：ZDnet 作者：佚名
最近几年，防火墙技术的发展变化趋势看上去是非常有趣的。它已经从使用基本软件和简单规则的系统，进化成为可以对大量威胁进行有效处理和策略配置的融合安全工具。

　　现在，我们已经很难找到单独的防火墙了。实际上，大多数路由器都包含了这一基本功能，甚至在网络交换机中，我们也发现了可以执行端对端操作的功能。

　　两三年前，安全厂商也开始尝试推出第一代和第二代融合的安全设备了。而如今，这些设备已经是完整的套装了，不再仅仅是很久以前意义上的防火墙了。现在，它们通常被称为安全设备或采用统一威胁管理(UTM)设备这样华而不实的名称。UTM设备涵盖从防火墙(状态和深度包检测)到垃圾邮件、病毒、反间谍软件、内容过滤等在内的各个领域。

　　在这一领域，最新的发展趋势是供应商正积极推动将传统的网络路由和交换功能之类的技术进一步融合进日益一体化的网络和安全设备。这并不意味着减少网络地址是正确的方向，供应商这么做的原因是希望解决网络服务质量(QoS)、数据包整形和带宽管理之类大型网络存在的固有问题。对于很多公司来说，首席信息官都在这方面花费了大量的时间和精力。

　　从管理角度来看，融合在一起的功能越多的解决方案意味着操作起来可能更简单，特别是在管理一家覆盖范围很广的大型公司时。如果你正在考虑单一解决方案的话，这些设备能够单枪匹马地满足安全和网络方面很大一部分的需求。它们可以帮助降低成本、复杂性、集成和管理方面存在的问题。但这个问题的反面是，所有的鸡蛋都在一个篮子里。如果不法之徒找到了一种正确方法的话，后果就不堪设想了。因此，这还是一个鱼和熊掌不可得兼的问题。

　　对你的安全环境进行规划

　　在考虑网络安全环境的规划(除了了解已经老化了的系统以及实际需要进行的更换)时，确保你已经充分了解了当前的情况和面临的风险。随着时间的流逝，面临的威胁和风险也

　　会不断发生变化，因此需要定期进行监测。为了确保目前的保护等级对于信息安全来说是足够的，还需要进行定期审核。关注现有的安全措施，确保不会产生浪费，它们应该用于更关键的位置，保护更重要更宝贵的数据。大多数公司都会低估信息资产的价值和安全。当然，我们也没有理由花费价值五万美元的安全解决方案来保护价值一万美元的信息。安全保护必须和数据的实际价值以及受到攻击的可能性相关联。

　　下面要做的就是需要确保你对需要得到保护的网络和系统有足够的了解。安全解决方案是不能够帮助公司了解通讯基础设备中存在的弱点的。最重要的是，你需要对系统外部连接点有着充分的了解。这里说的不仅仅是因特网和广域网(WAN)连接。人们通过高速网络连接同步他们的个人数字助理;USB设备在网络上频繁出现;无线网络遍布各处。审核、审核、再审核，这就是你要做的工作。建立分布图，确定风险的位置，进行检查和重新检查。

　　一旦价值、风险和环境情况都得到了确认，就可以准备开始设备采购了。尽管我们喜欢读者选购我们推荐的任何产品，但对于特定的环境来说，你还是需要进行自己的分析和研究的。环境往往是相似的，但不论是在技术、培训、预算等任意方面，任何两个网络的特征都不会是完全相同的。对于信息安全来说，是永远不能掉以轻心的。

　　完成了风险评估后，你就可以忽略安全顾问和供应商的恐惧、不安和怀疑(FUD)，专注于找到保护环境的解决方案。

　　找出符合要求的产品

　　对于很多客户来说，安全产品评测是在Enex实验室中定期进行的常规项目。

　　你应该根据自己对环境和风险的要求创建一个清单。然后，再了解厂商提供产品的功能，并建立一个必备要求的清单，与前面的清单进行比较。关注产品的功能，但不要仅仅考虑这一点，了解厂商对于你认为必备功能的观点。

　　有两个关键因素经常被忽视，它们是控制/管理功能和互操作性。请务必重视管理功能，如果没有合适的设备的话，在四十家分支机构进行部署的时间，如果供应商出现一个错误，后果就不堪设想了(是的，发生过这样的情况)。更不用说，如果你的网络工程师不能有效地配置和管理它时，会出现什么样的问题。互操作性也是经常被忽视的一个因素。如果你还有需要继续工作的老设备，这时应该怎么处理?创建一个此类产品和应用的清单，确保关键协议会得到充分支持。

　　一旦完成了整个清单，就可以开始联络供应商，询问他们对你的特殊要求的答复了。在进行示范和真实的实际模拟测试的时间应该确保是按照你的设想和要求进行的。测试方法和测试时的标准做法以及安全系统的评价标准是一个值得单独进行讨论的问题。对于解决方案和环境来说，有很多问题需要注意。

　　在进行测试的时间，有两个因素往往会被忽视，性能和主机故障恢复/冗余。

　　评价解决方案性能的时间，需要从确保流量的及时处理，不会出现瓶颈的角度来考虑，在这里特别需要注意的是，确保所有需要用到的功能都包含进去了。

　　主机故障恢复/冗余应该从两个方面进行测试。首先，产品不可能是万无一失的。一旦系统崩溃，是会开放所有数据，还是会直接锁定。尽管锁定所有数据为处理工作带来了极大的不便，但比起开放来，它的安全性好得多。

　　其次，冗余：是否选择和如何使用高可用性配置的设备?这包括了从是否选择多个风扇和电源到建立备用设备的方方面面。如何顺利地进行过渡?它们将如何安装并连接到网络的其它部分上的?对于主从设备的更新处理应该如何配置?在什么情况下进行设备切换，备用设备是要随时待机么?问题的数量是庞大的!

　　最后的一点，尽管很多人刚开始就询问了，就是解决方案的价格。选择三到四个产品以便进行竞争，这样的做法是明智的。当合同谈判开始(不论是与供应商还是和你的老板)时，你就有选择的余地了。

　　目前的产品

　　关于这一内容，Enex测试实验室的最新测试是2005年8月做的。但到现在，这一测试仍然是广受欢迎的，所以我们更新了这一专题。

　　我们邀请了包括包括思科、迈克菲、网件、瞻博、北电、赛门铁克、Fortinet、Check Point、WatchGuard、国际商业机器公司和SonicWALL在内的供应商参加。包括思科在内的一些厂商，决定不参与测试。其它一些厂商由于退出市场而不再更新设备。到目前为止，五家厂商已经提交了产品，它们是瞻博、SonicWALL、Astaro、WatchGuard和国际商业机器公司。如果其它厂商再送来设备，我们会将其列在后面。

　　我们对提交的设备从设计、功能、互操作性、可扩展性、升级功能、安装、配置、行政、管理、易用性、质量和工艺等角度进行了评估。

flb_2001

SonicWALL E-Class NSA E5500

一想到这么美丽的产品将会被锁定在隐藏于公司内部的数据中心的机架上，真是会让人产生非常失望的感觉;E级产品线的外观实际上非常具有吸引力。但可悲的是，唯一能感受到这种美丽的是进行例行保养的工程师。

　　SonicWALL制造的信息安全系统不仅外观美丽，性能也非常出色。该设备被安装在1RU的银色机箱里，前面板材料采用了经过铣削和拉丝的金属铝，包含了八个网络端口，一个高可用性端口，一个控制台端口和两个USB接口。

　　前面板还安装了一个小型液晶显示屏，一个复位开关和四个状态指示灯来显示电源、测试、警报和硬盘的活动。在机箱的两侧是通风格栅，后部则是电源(采用了国际电工委员会标准的电缆)，一个扩展坞和两台支持热插拔的风扇。

　　SonicWALL E5500的特色是提供了免费的深度包检测防火墙。该技术(在理论上)可以在不明显影响系统性能的情况下，支持任何大小和数量的文件。SonicWALL公司采用多核心技术，来保证性能的稳定。它还集成了可以自动更新的动态威胁防护技术，并且能够在没有管理员干预的情况下了解和阻止新类型的威胁。

　　E5500设备的安装操作非常简单明了，可以利用网络浏览器进行本地设置。图形用户界面为系统管理员提供了需要的所有功能。尽管该系统的界面看上去非常复杂，但查看和使用起来非常简单。

　　在E系列中，E5500属于低端的型号。对于SonicWALL来说，E系列属于旗舰级别的产品线，尽管E5500是其中的入门级产品，但这样的说法是正确的。

　　SonicWALL是一家只有你在进行研究的时间才会发现的普通供应商。在信息安全产业中，我们看到更多的是，到处传播恐惧，不考虑最终用户实际需求的臭名昭著的推广。而对于SonicWALL来说，安全工程师可以将SonicWALL所有产品融入一个统一的解决方案中，客户可以根据自己的环境，对其进行设计、挑选和组合，确保不会出现浪费。这样的话，公司就可以对安全解决方案进行调整，来满足实际的需求，并且通过中央控制台完成所有的管理工作。

SonicWALL E5500的管理界面

　　对于SonicWALL来说，它并不一定是一个单独的产品，而是产品集合中的一个部分。

　　在价格方面，SonicWALL的产品具有很大的优势。企业级设备的价格范围是从NSA240的1899澳元到E7500的28995澳元。在本次测试中使用的E5500位于10495澳元的价位，考虑到其实际功能，这个价格是非常合理的。

　　SonicWALL产品的标准技术支持为12个月硬件保修和90天的技术支持。如果额外技术支持的话，也可以选择“总体安全”服务包。它为硬件、所有安全服务和技术支持，提供了期限为一年、两年或者三年的选择。对于E级来说，技术支持包含了专门的三级支持。

flb_2001

WatchGuard Firebox X6500e UTM

对于WatchGuard来说，始终如一不能算是缺点。在过去的七年中，Enex测试了无数来自WatchGuard的产品，每一台都是独特的鲜红色涂装。这样，当在数据中心遇到它们时，你是不会错过的。WatchGuard在过去的三版Firebox中，也采用了类似的机箱。

　　WatchGuard还是一如既往，保留了“金螺丝刀”升级模式。用户可以选择使用软件“功能键”选择购买升级服务，这样，在无须升级任何硬件设备的情况下，就可以打开已经安装在系统中的更多功能和性能。

　　在整个产品系列中，Firebox X6500e属于中端，处于X5500e和X8500e(-F)之间。WatchGuard将该设备设定为应用在四百到两千用户的企业网络中，建议零售价格的范围为19348到31000澳元(取决于选择的功能)。提供给我们测试的设备价格为24863澳元。

　　和大多数现代安全设备一样，WatchGuard X6500e除了提供防火墙以外，还提供了大量的其他功能。作为统一威胁管理(UTM)设备，它可以处理包括间谍软件、病毒、垃圾邮件、混合型威胁、内容过滤、网络攻击、SQL注入、缓冲区溢出、拒绝服务/分布式拒绝服务攻击等在内各种各样的安全威胁。该设备的一系列功能给我们留下了深刻的印象。

　　X6500e包含了八个10/100/1000网络端口和用来连接设备前端的DB9M端口，另外四个状态指示灯被用来显示电源、存储设备、警报开启/关闭和扩展功能的活动情况。

　　机箱的两侧是设计良好的通风格栅，后部有三台风扇。这个机箱采用的是2U模块化托架，电源开关和电源支持设备(采用标准IEC电缆)位于在后方。但令人惊讶的是，该设备并没有包含冗余电源。考虑到针对的是企业级市场(并且考虑到价格)这一点应该是意料之中的。

　　WatchGuard声称该设备的最大优势是可以提供独特的零日保护，并且可以支持最高的二千兆比特每秒的防火墙吞吐量。Firebox X Peak功能是建立在应用代理防火墙技术上的，与状态包过滤技术比起来更安全。WatchGuard还介绍了设备提供的反间谍软件功能，可以在符合法律要求的情况下，保护公司机密信息的安全。

　　对于Firebox X6500e来说，网络属于固有功能。千兆位的防火墙吞吐量和八个10/100/1000以太网端口可以支持高速局域网传输和千兆广域网连接。

　　该产品线的另一个通用点是WatchGuard系统管理员工具(WSM)，WatchGuard在Firebox X6500e中保留了它。该工具需要在连接上Firebox X6500e之前，安装到系统管理员的计算机上;这个过程不是特别方便。因此，与其他利用内部网络开放端口(允许通过网络进行配置)的设备相比，X6500e可能更安全一些;毕竟，对于系统管理员来说，它还需要进行学习才能掌握。

　　在使用新的Firebox设备前，系统管理员必须先完成一个复杂的处理过程：在安全模式下对该设备进行初始化，从系统管理员的计算机(包括上传该设备的功能键到系统中)上运行设置向导，并建立临时的初步网络和访问密码。只有这样，系统管理员才能启动WSM并进行连接。

　　当存在多种Firebox产品的时间，WSM可以作为中央管理系统使用。只要连接上WSM，系统管理员就可以执行关键任务，进行连接或者利用固件策略管理器对设备进行配置，以及连接存取监控系统(俗称的Firebox系统管理员工具)。尽管操作非常复杂，但只要适应了WatchGuard的管理模式，大部分工程师都能轻松进行控制。


　WatchGuard的系统管理员、防火墙系统管理器、防火墙策略管理器等工具

　　WatchGuard Firebox X6500e是一台精选的安全设备。它适合于大多数用户的网络要求。从功能升级的角度来看，功能键模式是一种非常出色的解决方案。这抵消了它相对较高的初始价格导致的劣势，并且可以确保在企业高速发展的时间设备不会很快被淘汰。

　　通过WatchGuard提供的LiveSecurity在线你可以每年为保修续期，其中也包含了高级硬件保修。产品技术支持的模式是星期一至星期五上午八时至晚上八时的网络和电话支持。

flb_2001

结 论

　　对于设备来说，改装、更新和升级是常见的措施。而对于安全产品来说，三个关键点则是审核、分析和评估。实际上，对于网络安全产品来说，它们显得更为重要。

　　为了了解企业当前的实际情况，全面的审核工作是必须开展的，尤其是要重点关注现有的安全/网络环境。在有可能的情况下，应该制定和执行基准和指标，它可以为企业建立一个客观的简介。你可以采用该数据来对拟议中的解决方案进行评估，清楚得了解如何以及在哪里对现有系统进行改善。简介的数据也可以用于确保已经广泛部署的新解决方案运行稳定的保养周期中。

　　对于企业安全来说，风险审核也是非常值得的。它可以确定任何受到解决方案保护资产的价值和位置，并确保系统的规模和范围对于信息保护来说，是足够的。而不会出现在安全上花费十万澳元来保护价值仅仅为五千澳元的数据，这种毫无意义的情况。

　　分析实际的需求，并和供应商开始初步的谈判，准备进行试点。利用此分析作为指南，缩小供应商提供的可以满足企业需求的解决方案的范围。一旦开始了试点评估，最好引入第三方来对安全解决方案进行测试。这样可以确保产品包含了供应商宣称的所有功能，并且可以确保安全实现基于战略和风险审核的配套发展。

　　为了保证评估的有效，应当选择保持独立性的第三方。处于经验方面的考虑，内部安全工作人员往往会偏爱原有的系统;而且，可能由于过于偏重熟悉或者希望的功能，在测试中他们的眼界可能会过于狭窄，从而导致选择的结果对当前环境来说并不是最合适或有效的。

　　无论他们声称自己有多少专家，都要避免由供应商来对解决方案进行测试这种情况的出现。选择独立的第三方可以分散和减轻进行采购决策时的风险。

　　对本次测试中的设备进行排名是一件非常困难的事情。作为安全设备，它们的特点都很突出，在一万到四万澳元的价格区间中，每种设备都有其独特的优势。

　　如果希望配置和使用方便的话，你可以选择IBM的产品。如果你的选择是SonicWALL功能丰富的产品线的话，必须让安全架构师进行详细的规划以确保有效的实施。而对于大型企业来说，Astaro和Juniper经过精心设计的解决方案是不错的选择。如果企业正处在业务不断扩张的阶段，从成本效益的角度来考虑，WatchGuard提供的黄金螺丝刀软件升级模式是一个可行的选择。

happy_rabbit

1澳大利亚元 = 5.71057577 人民币

huoyun

安全问题就是最大的问题。钱不是问题。呵呵。

flb_2001

原帖由 happy_rabbit 于 2009-8-11 14:12 发表
1澳大利亚元 = 5.71057577 人民币

你想说明什么？

flb_2001

原帖由 huoyun 于 2009-8-12 15:50 发表
安全问题就是最大的问题。钱不是问题。呵呵。

费用的承受能力也应该考虑，可以做到相对的安全，不一定需要绝对的安全

bxfqing

忒贵了~~~
真能防的住

flb_2001

没有绝对能防的住的，要看各自的环境了