各个防火墙比较
蠕虫病毒、特洛伊木马、安全漏洞、淹没、黑客入侵和攻击——企业们该怎么办?当然是安装一体化安全应用产品。只是要确保您选择的产品名副其实。
【IT168 报道】对于企业中负责网络安全的人来说,具备所有企业级安全功能的一体化设备是一个梦寐以求的产品。自然,这一一体化安全应用产品应提供所需的有效性,而没有分层安全应用产品的复杂性和高成本,也无需专门的人员。在当今一网罩天下的世界中,蠕虫病毒感染、特洛伊木马入侵和对安全漏洞的利用屡见不鲜,因此,这种产品极具吸引力。
为评估这类产品的有效性,Infoworld在位于夏威夷大学的高级网络计算实验室测试所内测试了六种一体化安全应用产品。Infoworld测试的所有六种产品都自称是“应用产品”,但要了解:它们不是傻瓜型,也不是即插即用设备。
Infoworld邀请了八家防火墙制造商提供他们最新的应用产品。其中有六家勇敢地接受了挑战:ServGate EdgeForce Plus、Check Point Safe@Office 225、Juniper Netscreen-5GT增强型、NetGear虚拟专用网防火墙FVS328、SonicWall Pro 2040和WatchGuard Firebox X1000。在未参加评测的厂家中,赛门铁克不能及时地提供量产级产品,iPolicy的产品不能叫做应用产品。
Infoworld的测试显示,供应商不仅对一体化安全产品有不同的定义,他们也对应用产品的定义有显著的不同。
Infoworld的测试性能参数主要有七个:管理能力、可设置性、灵活性、性能、文件能力、扩展性和价格,他们所占评分的比重分别为:20%、20%、15%、15%、10%、10%和10%。其中,分值越大表示该产品相关参数方面表现越好。
ServGate EdgeForce Plus
EdgeForce Plus因众多的功能和卓越的模块化设置方法而与任何其它设备不同。
它基本上是一台小型的Linux服务器。这不是一个新的方法,但ServGate在所有的关键方面都留出了空间进行升级。这使您不仅可方便地免费升级 EdgeForce安全功能,而且可使您在需要容纳更多用户或使用新功能时进行。它可通过新的软件和添加两个CPU进行扩展,从而进行需要占用大量CPU 的下载任务,例如加密和深度数据包检查。
Infoworld十分欣赏EdgeForce Plus设置的方式。与大多数防火墙一样,设置虚拟专用网阶段I在一个屏上进行,设置虚拟专用网阶段II在另一个屏上进行,从而可快速和合理地进行虚拟专用网设置。
在设置完成后,此设备轻松地通过了Infoworld所有的虚拟专用网测试。ServGate甚至利用了Linux的部分优势来提供服务,例如用于加密终端会话、模块交换和虚拟专用网用户认证的SSH(安全外壳)(可通过内部数据库、后端LDAP或Radius服务器进行处理)。Infoworld测试的设备安装了ServGate虚拟专用网性能模块,将其标称虚拟专用网吞吐量提升至90Mbps,从而使它成为测试产品中拥有最快虚拟专用网功能的产品。
EdgeForce拥有强大的杀毒能力,允许在日后根据需要进行添加。此杀毒功能扫描所有进入和外发电子邮件,包括Webmail、POP3/SMTP和IMAP客户端。杀毒引擎运行正常,捕获了Infoworld所有测试用病毒。
其防火墙测试结果与NetScreen和Safe@Office相同。EdgeForce拥有专门防御最常见攻击方法的措施,包括可设置SYN淹没、 ICMP (互联网控制信息协议)淹没和UDP (用户数据报协议)淹没的阈值,也支持IP源路由、Fraggle和Smurf攻击、地址扫描和端口扫描等。
高级功能的设置完全模块化,可使您设置设备以满足所有当前需求,然后根据需求的改变可进行新的设置。例如,专业模块添加了20GB硬盘,可用来启用网页缓存、 网址过滤和本地日志等功能。
此设备也可完美地支持QoS设置。它们更象CoS(服务等级),可允许针对不同服务类型或应用流量设置优先级和最大可允许带宽。它们然后可附加于策略上,将数据包在物理或虚拟接口间转发。它可能不整形流量,但它可禁止某些活动(例如文件下载或视频流)侵占其余的广域网资源。
EdgeForce拥有最佳的性能,并在以后最具升级潜力。尽管其高级功能要求特定的网络安全知识才能进行设置,EdgeForce对于拥有这些资源的企业来说还是一个很好的选择。
评分:EdgeForce Plus的管理能力9,可设置性为8,灵活性和性能均为9,文件能力为8,扩展性为9,价格为8,其最终得分为8.6。
Check Point Safe@Office 225
Check Point的前身是一系列大型机安全产品,它价格昂贵、操作系统复杂,但其蹩脚的名字令其十分困窘。他们的Safe@Office产品是防火墙市场有力的竞争者。
Safe@Office是这六种产品中最易于设置的,当您了解其内部组件是基于Check Point工业级、热销防火墙1平台时,这一优点则更令人印象深刻。防火墙1的功效体现在Safe@Office中,而与其复杂性无关(因具有高度直觉化的前端界面)。其服务功能可方便地管理Safe@Office,几乎可一站式设置所有功能,包括动态DNS、动态虚拟专用网和电子邮件杀毒。它的每一个选项均通过互联网连接至Check Point公司服务器进行自动更新,并获得设置帮助。
Check Point为此设备的同步防火墙连接限制在10个,将同步虚拟专用网连接限制在10个;但可任意组合,包括客户端至局域网或局域网至局域网。在较小的应用环境中,Safe@Office可让管理网络安全成为简单、可完成的任务。
这些连接背后的引擎出人意料地强大,这也是Check Point的特点。客户端虚拟专用网连接可为IPSec(免费从Check Point下载)或PPTP (点对点隧道协议),以支持微软虚拟专用网客户端。并且,客户端可比照内部数据库或后端Radius服务器进行认证。此设备允许静态路由,即防火墙后方的更多子网也可进行路由。
在Infoworld的测试中,Safe@Office证明是一个很有效的防火墙。它阻挡了Infoworld模拟的一系列攻击,并拒绝了Infoworld从广域网对DMZ(非管制区)或局域网的ping。
Safe@Office在杀毒方面十分独特,所以Infoworld相应地调整了测试方法。此产品将电子邮件流量转发至Check Point服务器,在此扫描后重新转发至目的地。这说明了为什么如此小的CPU可同时进行如此多的功能,但同时也说明,Safe@Office与有些杀毒产品有不同的地方,那就是Safe@Office不能检查安装前下载的病毒。
Check Point将其广受赞誉的防火墙1进行缩减,以制造Safe@Office产品。Safe@Office用户界面友好,通过Check Point服务器执行高级功能(例如杀毒、互联网过滤和动态DNS),它成本较低,功能全面,但客户会受到此供应商的束缚。
评分:Safe@Office 225的管理能力8,可设置性和灵活性为9,性能为7,文件能力为10,但其扩展性仅为6,其价格为9,最终得分为8.3。
Juniper NetScreen-5GT增强型
NetScreen-5GT增强型在一台极小的设备中融入了许多好的功能,包括所有一体化安全设备可包括的功能,例如防火墙、虚拟专用网、入侵探测系统和杀毒。NetScreen-5GT增强型有10个虚拟专用网客户端。
NetScreen-5GT网络界面的主页屏十分合理。如您仅需了解防火墙的一般状况,则您无需置身于繁琐之中,这在紧急情况时十分方便,即此设备可对紧急情况做出反应。NetScreen的功能比类似产品的功能更为丰富,对于许多常见的攻击有专门的防御措施,包括WinNuke、 ICMP/UDP和SYN淹没和基于Java或ActiveX的恶意软件等。
此产品可按菜单的方式展现对具体攻击的反应,允许将其防御设置成仅是发出报警或开始丢弃恶意数据包。在设置成后一种方式时,它阻断了Infoworld向其发动的所有攻击,让Infoworld不得不采用非同寻常的攻击方法。
Infoworld也对其杀毒能力印象颇深。与Check Point的Safe@Office相似,NetScreen也通过订用服务(Juniper和Trend Micro合作的产物)进行杀毒。此设备将Webmail和POP3/SMTP邮件服务的杀毒设置区分开来,所以Infoworld对杀毒功能不支持 IMAP用户感到奇怪。
与本次测试中最佳产品相似,NetScreen的虚拟专用网测试也未出现任何问题。它轻松地处理了所有20条虚拟专用网通道。
此NetScreen设备几乎可完全保护企业。其性能显示它可轻松地为拥有50余个客户端的网络提供防火墙功能。它不仅支持多个ISP以获得故障转移功能,也可在广域网失效时放弃拨号入网连接。其网络内容过滤也表现良好,可使NetScreen利用WebSense订用服务生成企业黑白名单(需额外付费)。
NetScreen的一个特色是源路由。Infoworld测试的所有设备都可处理更多的静态路由,但仅有NetScreen可添加源路由条目,以报告路由起源地和源数据包是通过OSPF还是RIP(路由信息协议)、BGP (边界网关协议)或静态条目到达。这个在小型设备中提供的真正高级的防火墙功能,令Infoworld始料未及,,Infoworld也当然没有料到它使用起来如此方便。
评分:NetScreen-5GT增强型的管理能力9,可设置性、灵活性为、性能、文件能力以及扩展性均为8,其价格为9,最终得分为8.3。
NetGear虚拟专用网防火墙FVS328
NetGear在安全产品领域有一定的知名度。尽管FVS328没有破坏此声誉,Infoworld在测试中所遇到的困难还是让Infoworld不太愿意推荐此产品。
在所有的测试产品中,这是唯一一台不支持杀毒功能的产品。其优点是它的基本设置方便性位居第二,且最为廉价。但它的方便性却损失了界面功能,所以,如果您想进行任何定制的话,您必须通过NetGear技术支持人员进行。
在测试虚拟专用网功能时,Infoworld碰到了更多的麻烦。Infoworld的测试设备(运行TeraVPN的Spirent SmartBits 600)因性能的原因需要使用某种加密机制,而NetGear设置虚拟专用网的方法与Spirent不同。FVS328在设置先进的虚拟专用网握手功能时(例如Diffie-Hellman(迪菲 — 赫尔曼)密匙协议标准十分麻烦。到Infoworld最终成功设置后,Infoworld发现此设备仅能达到3DES和Diffie-Hellman(迪菲-赫尔曼)第2组。这不一定是一个很严重的缺陷,但Check Point和ServGate产品提供了更多的灵活性。
甚至在Infoworld完成虚拟专用网通道设置后,FVS328也出现了几种异常情况。除非Infoworld首先发出一个ping通过虚拟专用网通道,否则Infoworld不能激活这条通道(NetGear手册中未提及这一内容)。尽管其文件指出IPSec应被认为是一种服务,它们也未指出这样做对设置虚拟专用网通道至关重要。
NetGear表示,此通道问题已为他们所知,并给Infoworld送来了一个固件升级以解决这一问题,但此升级让Infoworld的测试变得更糟。最后,FVS328变得很不稳定,以致于它不能让足够的通道同时运行,以完成Infoworld的虚拟专用网性能测试。
幸运的是,Infoworld的防火墙测试比较顺利。其基本设置较为简单,且使用了精灵。此设备拥有全状态检查防火墙,通过了Infoworld临时进行的ping攻击测试,也阻断了一系列分布式拒绝服务攻击。其精灵甚至有一些巧妙的功能,例如根据当天的时间禁止某些类型的流量。它允许插入认证授权的地址,这一点也令Infoworld感到满意。
尽管NetGear价格诱人,也拥有对用户友好的精灵界面,但它总体上还是一个基本防火墙,勉强拥有虚拟专用网功能。其CPU缺乏进行加密处理的能力,在同时运行10条以上通道时,它的性能会显著降低。根据对NetGear的了解,它们也有了更好的固件,但Infoworld还是建议:尽管此设备廉价,还是应该在购买前对它进行完全测试,你们公司将会因这些额外的努力而更安全。
评分:FVS328的管理能力5,可设置性为7,灵活性和性能均仅为4,文件能力为10,扩展性为5,价格为9,其最终得分为6。
SonicWall Pro 2040
这一中量级防火墙是一个多面手,在拆开包装后您就会立刻意识到这一点。Pro 2040将SonicWall下一代SonicOS增强型操作系统融合入硬件架构中,可处理大量负载(如设置恰当)——较为复杂,与此供应商的声誉不符。
其被测产品包括所有功能,但一般用户必须指明“增强型操作系统”才可获得众多高级功能,包括ISP故障转移、多台2040间的负载平衡、基于策略的网络地址转换设置和广域网冗余。
尽管无需SonicOS增强型也可使用Pro 2040,此设备甚至在硬件中都需要它:通过安装“增强型”,即激活了此设备的第四个10/100以太网接口,即变成第二个广域网、局域网或DMZ连接或至另一台Pro 2040的硬件故障转移连接。在多种功能方面,SonicWall表现不凡,它将Pro 2040整合入其全面的托管安全服务中,包括杀毒和内容过滤。
Pro 2040性能优良。例如,因为SonicWall在Pro 2040中加入了专用加密CPU,所以不论Infoworld使用AES-256还是3DES加密模式,其性能结果都一样。此“Pro”设备也成功防御了 Infoworld所有的静态防火墙攻击,并通过了杀毒测试。从性价比的角度考虑,Infoworld认为它应该比NetScreen-5GT表现更好。
当Infoworld需要改变系统的内部局域网地址时,就出现了唯一需要小心的地方 — 此设备将Infoworld完全禁止,让Infoworld不得不进行固件设置的全部重新安装,并删除原有的设置和许可。Infoworld不得不在 SonicWall 重新注册本设备,才可成功地连接两个以上虚拟专用网。此外,Pro 2040基于网络的接口不完美,也不能通过Infoworld夏威夷测试的考验。
评分:SonicWall Pro 2040的管理能力8,可设置性和灵活性均为6,其性能、文件能力、扩展性和价格都是7,最终得分为6.9。
WatchGuard Firebox X1000
WatchGuard需要进行改进。Infoworld首先被其Firebox美丽的红色所吸引,但这也是Infoworld最后一次那么喜欢地看它。在 Infoworld开始设置后不久,Infoworld就给它取了个外号“微软型设备”,因为它比Windows服务器的重启次数更多——而这台设备运行着内置Linux!
因为每次重启都需要至少60秒,所以Infoworld很快就开始厌倦它了。系统管理员也会这样,因为重新启动设备基本意味着至少要重启互联网网关。每个设置步骤通常需要多次重启,所以您的用户也不会满意。
即使不出现重启这一麻烦,设置Firebox也不是件轻松的工作。它使用大型的设置客户端,所以仅为了使设备正常运行就必须将软件安装在指定的管理工作站中 ——所以其它被测设备均无此要求。然后必须使用以太网和串行连接连接至防火墙。串行端口并不是一个控制台,它仅仅是设置软件告诉设备基本设置信息的方法,以使设备处于被设置状态。这种做法的原因让Infoworld十分困惑。
更恼人的是,它开箱没有虚拟专用网功能,尽管此设备标榜为防火墙和虚拟专用网应用产品。如需要虚拟专用网功能,您必须从WatchGuard网站下载不同版本的操作软件。WatchGuard声称,因为它的产品用于出口,所以基本功能组装不能有严格的加密措施,而且,尽管Firebox出厂时有五个以太网端口,但如需将所有端口激活,您必须购买额外的许可;在拆箱时,仅有一个不可信任的广域网端口和两个局域网端口被激活。
Firebox唯一的不同的之处是采用了大量的代理技术。一个很好的例子是HTTP代理,它不是仅通过TCP端口80,而可对所有网络流量进行更深度检查。尽管采用这一技术意味着对进入和外发网络流量进行深度的检查,WatchGuard也是没有让其设置变得简便,以使其产品在针对非IT安全专业人员的市场中确实受欢迎。
评分:WatchGuard Firebox X1000的管理能力4,可设置性为3,灵活性和性能均为6,文件能力和扩展性为7,价格为3,其最终得分为4.9。
Juniper 网络公司 NetScreen-5 系列
NetScreen-5 Series Remote Office Security from Juniper Networks
* 利用状态防火墙、IPSec VPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页假冒)、防垃圾邮件和Web过滤等全面的统一威胁管理(安全特性)防止蠕虫、间谍软件、特洛伊木马及恶意软件的攻击
* 强劲的企业级系列产品和特性,可保护小型远程办事处、零售点或宽带远程工作人员的安全
* 设计用于广泛分布式企业的安全部署或服务供应商管理的安全业务
概述
Juniper网络公司为小型企业和分支办事处提供一套强劲的企业级解决方案,包括Juniper 网络公司NetScreen-5GT、NetScreen-5GT ADSL、NetScreen-5GT Wireless和NetScreen-5XT产品。这些经济高效的远程办事处安全产品能够全面确保小型远程办事处、零售点或宽带远程工作人员的网络安全。
Juniper网络公司NetScreen-5GT:NetScreen-5GT产品是特性丰富的企业级网络安全解决方案,集成了IPS、防病毒(包括防间谍软件、防广告软件、防网页假冒)、防垃圾邮件和Web过滤等全面的最佳UTM安全特性,可保护网络免受蠕虫、间谍软件、特洛伊木马、恶意软件及其他新兴攻击。对于需要由强劲的网络、应用和有效负载级安全性来保障硬件连接的环境, NetScreen-5GT Ethernet解决方案是最理想的选择。NetScreen-5GT Ethernet提供五个以太网接口,可采用广泛的配置进行部署。
Juniper 网络公司NetScreen-5GT ADSL:NetScreen-5GT ADSL提供相同的UTM安全功能,增加了ADSL连接,从而不再需要外置调制解调器,提供了经济高效的安全和ADSL路由平台。NetScreen- 5GT ADSL通过充分利用基于以太网的平台中所具有的关键安全设备、路由产品和故障恢复特性,增强远程办事处、零售点或宽带远程工作人员的网络安全,保护网络资源的安全。
Juniper网络公司NetScreen-5GT Wireless:NetScreen-5GT Wireless为希望安全地部署802.11b/g网络的远程办事处、零售点或宽带远程工作人员提供企业级UTM应用、路由协议和故障恢复特性。 NetScreen-5GT Wireless最多可为管理员提供四个安全区,每个安全区具有唯一的SSID,可用于为不同类型的用户设置适当级别的安全性。NetScreen- 5GT Wireless支持广泛的无线验证和保密机制,以确保无线安全性、私密性和互操作性。NetScreen-5GT Wireless包括标准以太网连接,并以ADSL作为硬件选项。
Juniper网络公司NetScreen-5XT:NetScreen -5XT设备是企业级网络安全解决方案,集成了状态检测和深层检测防火墙、IPSec VPN和DoS缓解技术。它支持拨号备份或双以太网端口,用于冗余的互联网连接。NetScreen-5XT产品已经通过Common Criteria和FIPS认证。
特性与优势
NetScreen-5系列产品的主要特性和优势如下:
* 全面的统一威胁管理(UTM)安全特性,可以防止网络和应用层攻击,同时阻断基于内容的攻击。UTM 安全特性包括:
o 状态检测防火墙,可执行接入控制并阻断网络层攻击
o IPS(深层检测防火墙),可阻断应用层攻击
o 基于卡巴斯基实验室扫描引擎的最佳防病毒功能,包括防网页假冒、防间谍软件和防广告软件,可阻断病毒、特洛伊木马及其他恶意软件的攻击,避免网络受到这些攻击的破坏
o 与赛门铁克合作的防垃圾邮件,可阻断垃圾邮件和网页假冒的攻击
o 使用 SurfControl 的 Web 过滤,可阻止访问恶意下载网站或其他不适宜的 Web 内容
o 网站到网站的 IPSec VPN,可建立办事处之间的安全通信
o 拒绝服务攻击(DoS)防护功能
o 面向 H.323、SIP、SCCP 和 MGCP的应用层网关,可检测并保护 VoIP 流量
* 严格的安全分区(家庭区/工作区)可防止未经授权使用企业流量和资源,并将其与非业务活动分隔开来
* 可配置的无线安全分区,每个带有唯一的SSID,可用来为不同类型的 用户设置适当级别的安全性(只限于 NetScreen-5GT Wireless 产品)
* 支持广泛的无线验证和保密机制,有助于确保无线安全性、私密性和互操作性(仅限于 NetScreen-5GT Wireless 产品)
* 设备冗余可提供高可用性,并最大限度地消除单点故障
* 支持拨号备份或双以太网端口,可提供冗余的互联网连接,以确保关键的网络正常运行时间
* 通过冗余的VPN隧道和VPN监控来缩短VPN连接的故障切换时间
* 可快速部署,以便为小型远程办事处或零售点快速启动并运行新设备,无需现场IT人员支持,只需用户进行极少的操作(需要NetScreen-Security Manager)
* 基于策略的管理,用于进行集中的端到端生命周期管理
技术规格
NetScreen-5GT 10-用户 / Plus NetScreen-5GT ADSL 10-用户/ Plus NetScreen-5GT Wireless10-用户/ Plus NetScreen-5XT 10-用户/ Elite
接口数量 5 10/100 以太网 5 10/100 以太网 + 1 ADSL 5 10/100 以太网 + 1 802.11 b/g 无线 5 10/100 以太网
可信接口中的最多IP地址数 10 / 无限 10 / 无限 10 / 无限 10 / 无限
最大吞吐量 75 M防火墙20 M 3DES VPN 75 M防火墙20 M 3DES VPN 75 M防火墙20 M 3DES VPN 70 M防火墙20 M 3DES VPN
最多会话数 2,000 2,000 2,000 2,000
最多VPN隧道数 10 10 10 10
最多策略数 100 100 100 100
最多安全区数 2 (加上家庭/工作区时为3个) 2 (加上家庭/工作区时为3个) 4 2 (加上家庭/工作区时为3个)
最多虚拟路由器数 3 3 3 2
路由协议支持 RIPv1/v2, OSPF, BGP RIPv1/v2, OSPF, BGP RIPv1/v2, OSPF, BGP RIPv1/v2, OSPF, BGP
支持的高可用性模式 HA Lite(1) HA Lite(1) HA Lite(1) No
拨号备份支持 是 是 是 是
带有双重不信任支持的冗余连接 是 是 是 是
统一威胁管理 / 内容安全性
IPS(深层检测防火墙) 是 是 是 是
防病毒(2) 是 是 是 否
特征数据库 100,000+ 100,000+ 100,000+ 否
扫描的协议 POP3, SMTP, HTTP, IMAP, FTP POP3, SMTP, HTTP, IMAP, FTP POP3, SMTP, HTTP, IMAP, FTP 否
防间谍软件 是 是 是 否
防广告软件 是 是 是 否
防键盘记录 是 是 是 否
防垃圾邮件(3) 是 是 是 否
集成Web 过滤(4) 是 是 是 否
外部Web过滤(5) 是 是 是 是
(1) 可通过可选的扩展许获得 HA Lite
(2) 通过 Juniper-卡巴斯基实验室防病毒引擎提供支持
(3) 通过赛门铁克 Brightmail 提供支持
(4) 通过 SurfControl 提供支持
(5) 通过 SurfControl 和 Websense 提供支持
2001-2007 Comsenz Inc.
