扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
根据IDC预测,UTM产品市场在近几年将维持高速的增长态势,在2008年之前将维持平均接近80%的年增长率,并将于2008年成长为一个容量达到20亿美元的细分化市场,占有整个信息安全市场的半壁江山,达到57.6%。
虽然目前UTM市场正在以超乎我们预想的速度发展,但是对于很多读者而言,UTM依然是一个陌生的词汇,甚至就连业界也没有形成一个统一的对UTM进行公正评价的标准。为了帮助广大读者深入了解目前的UTM产品、技术水平及应用,《计算机世界》特别于近期组织了本次UTM产品横向比较评测,并通过对UTM产品的综合性能、支持的功能以及易用性等多个方面对其进行了客观公正的综合考察。
本次测试引起了业界的普遍关注,最后共有来自安氏领信、FortiNet、SonicWALL、WatchGuard、ZyXEL等5家国内外厂商的5款优秀产品参加了本次评测,具有较好的代表性。在此,我们对这些勇于参加测试,并愿意将自己产品的真实表现展现给读者的厂家表示衷心的感谢。在本次评测中,我们使用了业界认可的思博伦通信的测试仪器、软件,并选用了尽量贴近用户实际应用环境的测试标准,希望为用户采购和应用UTM产品提供有益的参考和指导。
UTM来了
2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理(Unified Threat Management,简称UTM)这一新类别。该概念一经提出便引起了业界的广泛关注,并推动了以整合式安全设备为代表的细分化市场的诞生。
一时间,国内市场上打着UTM旗号的安全产品如雨后春笋般不断涌现。不过,细心的读者也许能够发现,这些早期的UTM产品往往出自两个源头:一种是基于原有防火墙架构的,并在其上增加其他各项安全功能而实现;而另一种则是基于原有IDS/IPS架构的,并在其上增加各项功能而实现。应该说很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版,产品本身并没有发生实质性的飞跃。
另外,由于部分媒体和厂商的片面宣传引导,很多用户对UTM产品期望值非常高——UTM能够完全解决现有的全部安全问题。在“UTM全能论”的引导下,很多早期的UTM设备往往是大量安全功能简单堆砌而成的产物,并没有在底层做好集成优化设计工作。因此,这些可怜的UTM就像一辆奥拓牵引着一辆满载的货车,过早地背上了沉重的包袱,不但没有解决好安全问题,反而由于缺乏良好的统一管理,足够的性能保证,导致诸多模块协同工作时成为网络的瓶颈和故障点。
随着业界对UTM理解的不断深入,以及UTM技术的不断成熟,如今的UTM产品正在从量变走向质变。目前,大多数厂家对UTM产品的设计思路是在一个真正的基于统一威胁管理的平台上,根据需要添加用户急需的安全功能。
在支持的功能方面,UTM也逐渐从华丽走向务实,即选择那些用户必备的或是迫切需要的功能。目前,市面上大多数的UTM产品具备了网络防火墙、VPN、网络入侵检测/防御和网关防病毒等多项基本的功能。同时,很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。另外,诸如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等其他特性,也逐步加入了UTM产品中。不过,这些特性通常都是为主要的安全功能服务的。
谁需要UTM
随着攻击技术的不断成熟,各类攻击逐步从网络层向应用层发展。单一功能的安全防护设备虽然专业性强,但是往往需要多台设备配合组网,协调性、可维护性、投入成本往往不尽如人意。特别是在不同供应厂商之间出现扯皮的现象时,不利于分析网络故障的原因。而一款优秀的UTM产品往往具备基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理等特点,其整合化的优势变得非常明显。
不过,就目前的UTM产品而言,它们也存在着一些短板,即性能的瓶颈和功能深度不足。首先,UTM是一款网关型硬件设备,各种应用数据均要经过它的检查、处理,因此,网络数据的处理能力非常重要。另外,如果UTM在基本防火墙应用的基础上,再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块,处理能力会有明显下降。虽然,目前业界也有号称达到千兆级别的UTM产品,但是真正能够达到实用的也就是在百兆级。因此,对于那些对网络要求极高的大型企业以及电信运营商们,目前的UTM并不适合。
其次,部分厂商会误导用户。UTM把很多功能都集合在一起,但是受困于处理能力的限制,UTM产品添加的各项功能并没有单一功能的那些产品丰富。用户应该清楚地认识到UTM并不是简单地把几个一加在一起,而是把几个零点几加在一起。这就意味着,UTM产品还不具备功能单一的专业安全产品所能达到的安全级别,并不适合那些对安全极其敏感的行业、企业。
在系统地分析了UTM产品本身的特点之后,我们可以发现,目前的UTM产品只有在那些对网络带宽要求不高、安全防护等级不太高的应用场合,才能发挥其功能多、整合性高、易于管理维护、综合成本低的优势。
从目前的市场需求来看,国内中小企业对安全产品的要求非常明显:成本低、功能丰富、维护简单、易于管理等,但是对于带宽要求并不高,对安全级别的限制也没有那么严格。因此UTM设备恰好可以满足。试想,如果你把防病毒网关、反垃圾邮件网关、防拒绝服务攻击网关、内容过滤网关等,再加上路由器和防火墙这样的网关都塞给中小企业,就太复杂了,它们需要的就是一体化的网关设备。
UTM走向何方?
UTM的诞生,是技术发展使然,同时也是市场需求的演变。作为UTM产品,它既要实现常规的网络层安全(例如防火墙功能),又要求高速地处理应用层安全防御(如病毒与蠕虫扫描),所以技术上比一般的单项产品要求高。那么未来的UTM产品将有怎样的发展方向?
速度更快
由于UTM产品通常会同时运行多个功能模块,因此对系统性能的要求远远大于单纯的防火墙或入侵检测系统。而传统的x86架构产品,已经很难再有所提升,这意味着UTM产品必须使用更高端的硬件技术。
ASIC(专用集成电路)是被广泛应用于对性能敏感平台的一种处理器技术,将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力,使UTM设备正常运作。
除了基于ASIC硬件架构之外,还有很多UTM安全设备使用了近年来兴起的NP(网络处理器)架构。NP是为了缓解ASIC设计周期长、成本高等问题而推出的处理器技术,同时NP能够提供趋近于ASIC的运算效能。
在提升硬件速度的同时,UTM产品同样面临着系统优化方面的问题。在认清UTM产品并不是安全功能的简单堆砌之后,如何更好地、更有效地在统一、高效的系统平台上,部署好各个安全模块,处理好集成优化问题,也是UTM厂商需要考虑的。
只有这两个方面都做好了,UTM产品才能真正摆脱性能的束缚,冲向千兆,冲向高端应用环境,并为更深入的数据检测提供支撑。
兼容WLAN
由于WLAN成本的降低,很多企业已经部署或将要部署WLAN产品。但是随着国内无线网络的普及,这些企业也会产生越来越多的安全忧虑。因此,各UTM厂商都需要制订针对国内无线网络的更为行之有效的安全解决方案。例如,如何让UTM产品兼容WLAN,并可以进行相应的策略管理、分发,以降低普通用户使用WLAN的风险。
最后,UTM作为网关型设备,其未来的发展还应该与下一代网络的建设紧密相关,随着IPv6、3G网络的不断普及,如何适应现有IPv4网络与其他网络共存而出现的新型安全性问题也十分重要。
我们如何评测
客观地说,对于UTM这种新兴的网络安全产品,目前业界还缺乏足够规范的测试与评价标准。同时,由于各个厂家对UTM概念理解的不同,也造成了UTM功能方面的差异。这些都给我们本次
测试标准的制定增加了一定的难度。因此,我们在制定测试标准时,参考了目前UTM常用的功能,以及基于这些功能的性能评价标准,并广泛听取了所有参测厂家的意见。
在本次测试中,我们从用户实际应用角度出发,考察百兆级UTM产品在一个人数规模在100~500人之间的中小型企业的综合防护能力。考虑到众多UTM产品的整合方式以及技术特色方面的差异,我们将本次测试分为性能测试、功能测试和易用性测试等三个方面。
需要说明的是,由于各家厂商对UTM产品线的划分不同,所以我们也无法对其送测产品的型号进行硬性规定。但是,可以肯定的是那些性能高、功能全的UTM产品往往意味着不菲的价格,读者在看我们测试结果的时候,切记不要片面追求某项测试指标的高低,应该全面考虑各种因素。
性能测试
虽说UTM产品的功能差异化明显,但是最基本的防火墙、VPN、防病毒和入侵控测功能还是必不可少的,也是最为常用的。因此,本次性能测试主要针对这4个模块进行。
在本项测试中,我们采用业界普遍认可的思博伦通信公司的Avalanche 2500和Reflector 2500专业测试仪器,以及Avalanche 7.50配套性能测试软件。考察UTM产品旨在开启防火墙模块、NAT工作模式状态下的新建连接速率、最大并发连接数以及应用吞吐量。另外,我们还考察了UTM产品在开启防火墙、IPS、防病毒、VPN等模块状态下的应用吞吐量。
新建连接速率是测试一个网络设备所能承受最大新建速率的基本指标。新建连接速率说明了UTM产品在不丢失连接的基础上每秒能够成功处理的最大连接数,其测试结果的单位是连接/秒。
测试时,我们以Avalanche 2500模拟内网客户机以不同速率,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并下载64字节的页面做有效性验证。通过二分法找到,UTM处理性能的极限情况,我们取极限情况下负载稳定期内的60秒平均值作为新建连接速率的测试结果。
最大并发连接数是测试一个网络设备所允许的最大并发连接容量的基本指标。最大并发连接说明了UTM产品在不丢失连接的基础上所能处理的最大连接数。这个指标除了和新建连接速率有关外,还和UTM本身的内存容量、连接数据存储结构有关。
测试时,我们以Avalanche 2500模拟内网客户机,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并于Reflector端设置每个连接的等待时间,以维持那些新建的连接,直到UTM产品达到并发处理的最大上限。
应用吞吐量是衡量网络设备对应用层数据处理能力的基本指标。测试时,我们以Avalanche 2500模拟内网客户机以一定的速率,向外网的Reflector 2500模拟的Web服务器发送HTTP请求,并下载1MB大小的数据,我们取负载稳定期内,Reflector服务器发送数据的60秒平均值作为测试结果。
为了考察UTM综合处理效率,我们还同时开启防火墙、VPN、防病毒以及入侵检测等模块进行应用吞吐量测试。测试时,我们以Avalanche 2500模拟IPSec VPN网关与被测UTM产品进行IPSec VPN对联,对于无法完成IPSec协商的产品,我们允许采用同等型号的设备进行IPSec VPN对连。
在隧道建立后,我们要求UTM开启防病毒和入侵检测,对其内部传输的数据进行分析,测试过程与应用吞吐量类似,性能测试结果见表2。
功能测试
基本功能测试。作为一款网关型产品,UTM对复杂网络的支持能力值得用户关注。在本项测试中,我们主要考察UTM部署模式是否支持桥、路由和混合模式,NAT功能实现的完善程度以及策略描述的能力,带宽管理能力和VPN的支持能力。
扩展功能测试。目前,很多中小型企业由于工作性质或带宽的限制,需要对IM类即时通信类软件产品、P2P软件进行阻断、限流控制,这就给UTM产品的应用层协议分析能力提出了更高的要求。因此,在本项测试中,我们还考察了UTM产品对这类应用的识别和监控处理能力。
对于中小企业,一定的垃圾邮件过滤能力以及对Web内容过滤能力也是它们需要的。面对用户需要,UTM产品中的这些防护模块究竟能够到达什么样的防护效果,与专业的过滤产品相比有何不足,也是用户所关注的。
另外,对于每款UTM产品支持的特色功能部分,例如,负责均衡、HA等,我们还根据实验室的环境进行了有效性测试。
易用性。UTM设备不同于交换机、路由器等网络产品,管理员往往需要通过基于对一段时间内发生网络事件的分析,对现行的安全策略进行修改,因此UTM产品的易用性就非常重要。我们在评价一款UTM产品的易用性时,主要从以下几个方面进行分析。
安装与部署。我们主要考察UTM产品是否具有安装向导,支持的管理方式,支持的联机模式以及是否具备远程统一管理能力等。
规则设定。考察UTM应用规则设定的复杂程度,是否支持基于时间、特定用户群(组)制定相应的策略,以及是否支持基于策略的带宽管理能力。
用户配置接口。考察UTM产品是否提供自有管理系统、支持语言版本、帮助说明与设置范例等。
日志与报表。考察UTM的事件记录方式、分类方式、记录备份与发送方式、报表与统计图表及警示分析等。
升级与更新。UTM产品固件是否可更新。另外,入侵特征库、病毒库、垃圾邮件库、URL站点库是否更新、授权的更新方式、以及定期更新时间与状态告知等。
账户安全管理。考察UTM产品是否采用分级管理,分角色方式定义不同控制权限。
调试手段。考察UTM产品是否为用户提供了必要的网络故障检测手段和调试工具,方便用户能快速定位故障,例如,Ping、Trace Route、数据包捕获、Telnet、SSH、应用协议跟踪等。
测试随想
最初,我们在制定测试方案时,希望通过思博伦通信公司的ThreatEx 2700性能测试仪对UTM产品的防病毒、入侵检测等模块进行覆盖性测试。ThreatEx 2700可以真实地模拟数千种攻击及变种,包括:DDoS、蠕虫、病毒、VoIP攻击、无线(802.11x)攻击、协议模糊(Fuzzing)攻击、应用渗透,以及其他更多的攻击。
但是,在实际测试中,出现的问题与我们预想相差较大,即UTM产品中包含的入侵检测和杀毒模块无法与专业的IPS和防毒墙相提并论,很多恶意事件,参测的UTM产品都无法做出正确的识别、响应。这个现象也从一个侧面上驳斥了“UTM万能论”的观点。
当然,我们也没有必要因此而盲目悲观,毕竟目前的UTM产品只是定位在中小企业,网络带宽不高,安全性要求也不是在非常严格的网络环境中。另外,解决网络安全问题的重任,也不是仅仅一台UTM产品就能担当的。
不过,如果UTM产品想要向高端发展的话,性能的瓶颈是一个必须面对的问题。性能的高低并不仅仅体现在网络处理能力的快慢,还直接影响到了对应用数据检测的深度和安全防护等级的高低。
也许有人会说,想要提高性能,你少开几个安全模块不就行了吗?但是,我们认为用户花钱购买UTM产品无非就是希望以较少的成本,换取更多的安全服务以及更好的统一管理方式。一旦为了保证网络应用性能,而被迫关闭很多安全防护模块,那么UTM产品和单一功能的安全产品相比,优势又在何处呢?
参测产品点评
安氏领信:LinkTrust UTM X5300
LinkTrust UTM X5300是北京安氏领信科技发展有限公司开发的,面向企业级百兆高端应用市场的一款国产UTM产品。LinkTrust UTM X5300以领信安全实验室“LinkTrust Security Lab”的网络安全软件平台LTOS为核心,在LTOS核心层融会设计了安全检测引擎,并高度集成了防火墙、VPN、入侵检测/防护、防病毒、防垃圾邮件、P2P防护、内容安全控制、高可用性、带宽管理、Anti-X服务、多媒体通信安全、即时消息过滤、认证授权、远程安全接入等众多安全功能。
X5300采用标准的1U机身设计,具备4个10/10Mbps以太网接口,一个IDS、HA以及GSM接口。另外,X5300还提供了Console管理接口以及USB备用接口。X5300内置特征签名库可对各种端口扫描、信息探测、恶意攻击进行准确检测与有效阻断,使其对应用层攻击具备了全方位防护能力,特有的流量Mirror Port功能使网管对网络活动了如指掌。
X5300支持基于SMTP、POP3、IMAP协议的垃圾邮件过滤,可智能识别多国语言,配合阈值过滤、RBL、路径检查、连接控制、转发控制、邮件控制、异常控制、流量控制和延时投递等综合安全控制手段对垃圾邮件进行控制。
另外,X5300还支持HTTP、FTP协议的内容过滤,可实时检测出隐含在高层应用协议中的病毒、木马、蠕虫和恶意代码,除了实时响应、主动阻断之外还可动用多种手段通知管理员。
在性能测试方面,X5300表现良好,在开启防火墙模块、NAT转换状态下,新建连接速率可达6435连接/秒,最大并发连接达到了80万,应用吞吐量可达94.0Mbps。
在IPSec测试中,X5300与我们的Avalanche测试仪进行IPsec VPN隧道协商时出了一些小问题。所以,我们在测试中采用两台相同的X5300进行IPSec VPN对连。X5300在开启防火墙、VPN、防病毒和入侵检测功能等模块时,应用吞吐量达到了88.1 Mbps。
在功能测试方面,X5300可以支持路由、透明模式,另外通过3个网络接口可以实现路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面,X5300只能对特定版本QQ、MSN、Shype等软件进行监控、识别,并可以进行相应的阻断或限流处理。
在易用性方面,X5300支持中文图形化Web管理界面,便于管理员完成初始化系统配置。出于对系统安全性的考虑,X5300采用了符合GB/T 18336-2001安全设计要求的分级管理体系,AAA认证协议可保证对用户身份强制认证和安全审计。
在最后的综合评比中,LinkTrust UTM X5300凭借其全面的表现,获得了此次《计算机世界》评测实验室UTM横向比较测试的推荐产品奖。
亮点:
1. 性能表现出色;
2. 具备良好的用户认证机制。
不足:部分策略配置略显复杂。
市场参考价:19.8万元
FortiNet:FortiGate 400A
FortiGate 400A是FortiNet公司设计的基于ASIC硬件UTM产品,可以在网络边界处为中小型企业提供实时的保护。FortiGate 400A通过采用FortiNet公司自主开发的FortiAsic内容处理器和强化安全的操作系统FortiOS,可以有效降低因检测有害的病毒、蠕虫及其他基于内容的安全威胁而对网络性能的影响。
FortiGate 400A除了提供防火墙、VPN和入侵检测/防御功能外,同时具有防病毒/蠕虫和Web内容过滤等应用层功能,以及反垃圾邮件、反间谍件功能和流量控制功能,为日益增长的中小企业网络的安全需求,提供了其所需要的性能、灵活性和安全保证。
FortiGate 400A有两个10/100/1000Mbps自适应以太网接口,可以升级到千兆网络。同时,它还具有4个用户定义的10/10Mbps接口,可以提供冗余的WAN连接,高可靠性和多区域的特性允许管理员在划分其网络的区域时有更高的灵活性,并可以在不同区域之间设置策略。另外,FortiGate 400A前面板具有LCD屏和简单的控制按键,可以在没有外部控制台的情况下为其提供简单的管理配置参数。
在性能测试方面,FortiGate 400A表现出色,各项指标均为本次测试的最好成绩。在开启防火墙模块、NAT转换状态下,新建连接速率可达10017连接/秒,最大并发连接达到了84.8万,应用吞吐量可达94.0Mbps。
在测试中,FortiGate 400A与我们的Avalanche测试仪进行IPsec VPN隧道协商时出了一些小问题,所以我们在测试时,采用两台相同的FortiGate 400A进行IPSec VPN对联。FortiGate 400A在开启防火墙、VPN、防病毒和入侵检测功能等模块时,应用吞吐量达到了94.0Mbps。这也是本次测试中,唯一一款在开启VPN、防病毒和入侵检测功能等功能后,应用吞吐量没有下降的产品。
在功能测试方面,FortiGate 400A支持路由、透明模式,另外通过3个网络接口可以实现路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面,FortiGate 400A做得也很好,可以成功识别这些网络应用,并可以进行相应的阻断或限流处理。
在易用性方面,FortiGate 400A做得同样不错。操作简便的中文图形化Web管理界面,便于引导管理员完成初始化系统配置。由于采用内存记录日志,所以FortiGate 400A并没有什么强大的日志统计,用户在不关机的前提下,可以对近一段时间的日志信息进行分析。当然,如果结合上其配套使用的FortiReporter组件,那么管理员也能够得到详细的分析报表。FortiGate 400A的Web管理界面并不具备网络故障检测工具,不过管理员可以通过基于Web的CLI控制台,以命令方式进行故障分析。
在最后的综合评比中,FortiGate 400A凭借其在本次测试中出色的表现,获得了此次《计算机世界》评测实验室UTM横向比较测试的推荐产品奖。
亮点:
1. 性能表现出色;
2. 功能全面、易用性好。
不足:与测试仪的IPSec协商存在一些问题。
市场参考价:31万元
SonicWALL:PRO 4060
SonicWALL PRO 4060有效地集成了防火墙、VPN、网关防病毒、IPS、反间谍软件、内容过滤等多种功能于一身,不仅可以防御来自Internet的安全威胁,而且还能防御公司内部各个部门之间的安全威胁。
SonicWALL PRO 4060采用标准的1U机身设计,具备6个10/10Mbps以太网接口,一个Console管理接口。PRO 4060支持双链路的负载均衡,可以多种方式实现双WAN链路的出方向的负载均衡,确保关键服务的时时在线和业务的连续性。
SonicWALL PRO 4060的核心是一个功能强大的深度包检测引擎,能实时扫描网络流量,并在恶意威胁入侵网络之前在网关处将其屏蔽。由于采用了专利技术的高速DPI引擎,SonicWALL PRO 4060不需要把待扫描的文件完整地缓存到内存的一个缓冲区,消除了传统的网关防病毒产品对能够扫描的单个文件大小和同时扫描的文件数目的限制,真正地对每一个数据包做扫描。同时,该产品还采用创新的SonicWALL Clean VPN技术,可在移动用户及分支机构连接威胁网络之前对其进行净化。
SonicWALL PRO 4060可以紧密集成无线安全,自动检测发现和配置SonicWALL的SonicPoint无线接入AP,在无线信道上可以采用IPSec VPN 加密,并可实现全部的UTM功能,即在无线信道上实现病毒扫描、IPS、反间谍软件等。
该产品还具备良好的VoIP防护能力,支持全部的H.323和SIP协议,可以对H.323和SIP呼叫信令做完善的语法校验,与IPS特征库匹配,拒绝恶意呼叫,保护内部的VoIP设备的可用性。
在性能测试方面,SonicWALL PRO 4060表现良好。在开启防火墙模块、NAT转换状态下,新建连接速率可达2995连接/秒,最大并发连接达到了35.3万,应用吞吐量可达94.0Mbps。在开启防火墙、VPN、防病毒和入侵检测功能等模块时,SonicWALL PRO 4060应用吞吐量达到了92.7 Mbps,与开启防火墙模块时的应用吞吐量相比仅有小幅下降。
在功能测试方面,SonicWALL PRO 4060支持路由、透明模式。另外通过3个网络接口可以实现路由和透明混杂的模式。对于IM和P2P类软件的支持能力方面,SonicWALL PRO 4060做得不错,可以成功识别这些网络应用,并可以进行相应的阻断,不过不能对它们进行限流处理,略显不足。
在易用性方面,SonicWALL PRO 4060采用英文图形化的Web管理界面,具备初始化配置向导,管理员可以轻松地实现初始化配合。
亮点:
1. 具备独特的VoIP网关保护模块;
2. 兼容WLAN,提高了无线用户的安全性。
不足:目前版本不能支持对P2P软件的带宽控制。
市场参考价:150020元
WatchGuard:Firebox X5000
Firebox X5000是WatchGuard Firebox X Peak产品系列中的一款经典产品,隶属于WatchGuard统一威胁管理(UTM)设备中性能最高的系列。Firebox X5000集成了强大的安全功能和高级网络特性,提供能满足最苛求网络环境要求的整体解决方案,适用于成长型企业或远程办公企业。
Firebox X5000 将状态包防火墙、VPN、预防御、网关防病毒、入侵预防、防间谍软件、防垃圾邮件和URL过滤等功能集成于一台设备,提供全面的安全防护,同时降低了管理多点解决方案所需的时耗和成本。
Firebox X5000 的智能分层安全(ILS)可实时提供真正预防御,在发现漏洞、漏洞攻击程序创建和运行之前对新出现的未知威胁进行防御。另外,每项WatchGuard安全服务均与Firebox X5000中内置的预防御配合工作,可以提供无懈可击的安全防护能力。而且,订购按设备数量而非用户数量计价,因此没有递增成本。所有安全服务均可持续升级,为用户提供最新的防护功能,并通过WSM集中管理,可实时观察所有安全功能的运行状态。
在性能测试方面,Firebox X5000表现尚可。在开启防火墙模块、NAT转换状态下,新建连接速率可达7550连接/秒,最大并发连接达到了25万,应用吞吐量可达94.0Mbps。在开启防火墙、VPN、防病毒和入侵检测功能等模块时,Firebox X5000应用吞吐量为9.8 Mbps。
在功能测试方面,Firebox X5000支持路由、透明模式,并可以在两个端口上实现路由和透明的混杂模式。对于IM和P2P类软件的支持方面,Firebox X5000表现一般,主要是目前并没有对部分IM应用程序进行特征化处理。不过,Firebox X5000还是可以通过采用IP、域名等方式进行阻挡的。
在易用性方面,虽说Firebox X5000并不支持基于Web的管理方式,但是其附带的WatchGuard System Manager (WSM)并没有想像中的那么复杂,相反从最初的设备发现、配置向导到应用策略的定制都非常人性化,可以简化管理员的管理工作。另外,WSM为管理员提供了非常直观的设备运行监控,而且支持多种网络检测工具,并可以临时对某些可疑流量进行处理,非常适合管理员发现网络的瓶颈以及故障问题。WSM还包括全面的日志和报告、交互式实时监控以及拖放式VPN创建功能,无需增加成本。
亮点:
1. 易用性高;
2. 对复杂网络的支持能力强。
不足:开启病毒、入侵检测模块后,对性能的影响较大。
市场参考价:239892元
ZyXEL:ZyWALL 70 UTM
ZyWALL 70 UTM是合勤科技专门为解决中小企业安全问题而设计的网络安全网关。ZyWALL 70 UTM采用合勤科技先进的SecuASIC硬件加速解决方案,在合勤科技独有ZyNOSv4操作系统之上,有效地整合了包括防病毒、防垃圾邮件、入侵检测与保护、内容过滤、防火墙、VPN、负载均衡、带宽管理等8种中小企业常用的安全功能。
虽说ZyWALL 70 UTM是本次参考产品中体积最小的一款,但是其具备的网络接口数目一点也不少。ZyWALL 70 UTM具备1个百兆LAN接口、2个百兆WAN接口、4个百兆DMZ接口、1个Dial Backup接口和一个Console管理接口。由于采用了双WAN接口设计,ZyWALL 70 UTM可以提供灵活的负载均衡能力,非常适合于那些需要多条线路上网的企业应用环境。
ZyWALL 70 UTM的防火墙检测模块可以在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,提取状态信息并动态地保存起来,作为以后制定安全策略时参考。
在网关杀毒方面,借助于卡斯巴斯基防病毒技术的支持,ZyWALL 70 UTM 具有强大的病毒侦测和清除功能。在垃圾邮件过滤方面,ZyWALL 70 UTM携手业界知名的MailShell,提供了强劲的防垃圾邮件功能,可以减少那些不请自来的邮件,防止钓鱼邮件,提高用户的工作效率,阻挡信息诱骗。值得一提的是,ZyWALL 70 UTM还可以通过添加一块无线网卡,以实现无线路由器功能。
在性能测试方面,ZyWALL 70 UTM由于硬件配置较低的原因,因此表现一般。在开启防火墙模块、NAT转换状态下,新建连接速率可达330连接/秒,最大并发连接为1万,应用吞吐量为50.7 Mbps。另外,在开启防火墙、VPN、防病毒和入侵检测功能等模块时,ZyWALL 70 UTM应用吞吐量达到了24.4Mbps。
在功能测试方面,ZyWALL 70 UTM支持路由、透明模式,但是不能支持基于路由和透明的混杂模式。对于IM和P2P类软件的支持能力方面,ZyWALL 70 UTM做得很好,可以成功识别这些网络应用,并可以进行相应的阻断或限流处理。
在易用性方面,ZyWALL 70 UTM采用Web管理界面,便于引导管理员完成初始化系统配置。另外,为了方便管理员同时管理多台UTM产品,合勤科技具备一款基于Web的Vantage 集中网管系统(CNM)。同时,通过ZyXEL Vantage Report网页式集中报告系统,管理员可以为分布式网络快速方便地搜集和分析通信数据。
亮点:
1. 易用性好;
2. 兼容WLAN,提高了无线用户的安全性。
不足:与其他产品相比,性能方面略显不足。
市场参考价:15万元
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。