ZDNet安全频道原创翻译 转载请注明作者以及出处

　　最近几年，防火墙技术的发展变化趋势看上去是非常有趣的。它已经从使用基本软件和简单规则的系统，进化成为可以对大量威胁进行有效处理和策略配置的融合安全工具。

　　现在，我们已经很难找到单独的防火墙了。实际上，大多数路由器都包含了这一基本功能，甚至在网络交换机中，我们也发现了可以执行端对端操作的功能。

　　两三年前，安全厂商也开始尝试推出第一代和第二代融合的安全设备了。而如今，这些设备已经是完整的套装了，不再仅仅是很久以前意义上的防火墙了。现在，它们通常被称为安全设备或采用统一威胁管理(UTM)设备这样华而不实的名称。UTM设备涵盖从防火墙(状态和深度包检测)到垃圾邮件、病毒、反间谍软件、内容过滤等在内的各个领域。

　　在这一领域，最新的发展趋势是供应商正积极推动将传统的网络路由和交换功能之类的技术进一步融合进日益一体化的网络和安全设备。这并不意味着减少网络地址是正确的方向，供应商这么做的原因是希望解决网络服务质量(QoS)、数据包整形和带宽管理之类大型网络存在的固有问题。对于很多公司来说，首席信息官都在这方面花费了大量的时间和精力。

　　从管理角度来看，融合在一起的功能越多的解决方案意味着操作起来可能更简单，特别是在管理一家覆盖范围很广的大型公司时。如果你正在考虑单一解决方案的话，这些设备能够单枪匹马地满足安全和网络方面很大一部分的需求。它们可以帮助降低成本、复杂性、集成和管理方面存在的问题。但这个问题的反面是，所有的鸡蛋都在一个篮子里。如果不法之徒找到了一种正确方法的话，后果就不堪设想了。因此，这还是一个鱼和熊掌不可得兼的问题。

　　对你的安全环境进行规划

　　在考虑网络安全环境的规划(除了了解已经老化了的系统以及实际需要进行的更换)时，确保你已经充分了解了当前的情况和面临的风险。随着时间的流逝，面临的威胁和风险也

　　会不断发生变化，因此需要定期进行监测。为了确保目前的保护等级对于信息安全来说是足够的，还需要进行定期审核。关注现有的安全措施，确保不会产生浪费，它们应该用于更关键的位置，保护更重要更宝贵的数据。大多数公司都会低估信息资产的价值和安全。当然，我们也没有理由花费价值五万美元的安全解决方案来保护价值一万美元的信息。安全保护必须和数据的实际价值以及受到攻击的可能性相关联。

　　下面要做的就是需要确保你对需要得到保护的网络和系统有足够的了解。安全解决方案是不能够帮助公司了解通讯基础设备中存在的弱点的。最重要的是，你需要对系统外部连接点有着充分的了解。这里说的不仅仅是因特网和广域网(WAN)连接。人们通过高速网络连接同步他们的个人数字助理;USB设备在网络上频繁出现;无线网络遍布各处。审核、审核、再审核，这就是你要做的工作。建立分布图，确定风险的位置，进行检查和重新检查。

　　一旦价值、风险和环境情况都得到了确认，就可以准备开始设备采购了。尽管我们喜欢读者选购我们推荐的任何产品，但对于特定的环境来说，你还是需要进行自己的分析和研究的。环境往往是相似的，但不论是在技术、培训、预算等任意方面，任何两个网络的特征都不会是完全相同的。对于信息安全来说，是永远不能掉以轻心的。

　　完成了风险评估后，你就可以忽略安全顾问和供应商的恐惧、不安和怀疑(FUD)，专注于找到保护环境的解决方案。

　　找出符合要求的产品

　　对于很多客户来说，安全产品评测是在Enex实验室中定期进行的常规项目。

　　你应该根据自己对环境和风险的要求创建一个清单。然后，再了解厂商提供产品的功能，并建立一个必备要求的清单，与前面的清单进行比较。关注产品的功能，但不要仅仅考虑这一点，了解厂商对于你认为必备功能的观点。

　　有两个关键因素经常被忽视，它们是控制/管理功能和互操作性。请务必重视管理功能，如果没有合适的设备的话，在四十家分支机构进行部署的时间，如果供应商出现一个错误，后果就不堪设想了(是的，发生过这样的情况)。更不用说，如果你的网络工程师不能有效地配置和管理它时，会出现什么样的问题。互操作性也是经常被忽视的一个因素。如果你还有需要继续工作的老设备，这时应该怎么处理?创建一个此类产品和应用的清单，确保关键协议会得到充分支持。

　　一旦完成了整个清单，就可以开始联络供应商，询问他们对你的特殊要求的答复了。在进行示范和真实的实际模拟测试的时间应该确保是按照你的设想和要求进行的。测试方法和测试时的标准做法以及安全系统的评价标准是一个值得单独进行讨论的问题。对于解决方案和环境来说，有很多问题需要注意。

　　在进行测试的时间，有两个因素往往会被忽视，性能和主机故障恢复/冗余。

　　评价解决方案性能的时间，需要从确保流量的及时处理，不会出现瓶颈的角度来考虑，在这里特别需要注意的是，确保所有需要用到的功能都包含进去了。

　　主机故障恢复/冗余应该从两个方面进行测试。首先，产品不可能是万无一失的。一旦系统崩溃，是会开放所有数据，还是会直接锁定。尽管锁定所有数据为处理工作带来了极大的不便，但比起开放来，它的安全性好得多。

　　其次，冗余：是否选择和如何使用高可用性配置的设备?这包括了从是否选择多个风扇和电源到建立备用设备的方方面面。如何顺利地进行过渡?它们将如何安装并连接到网络的其它部分上的?对于主从设备的更新处理应该如何配置?在什么情况下进行设备切换，备用设备是要随时待机么?问题的数量是庞大的!

　　最后的一点，尽管很多人刚开始就询问了，就是解决方案的价格。选择三到四个产品以便进行竞争，这样的做法是明智的。当合同谈判开始(不论是与供应商还是和你的老板)时，你就有选择的余地了。

　　目前的产品

　　关于这一内容，Enex测试实验室的最新测试是2005年8月做的。但到现在，这一测试仍然是广受欢迎的，所以我们更新了这一专题。

　　我们邀请了包括包括思科、迈克菲、网件、瞻博、北电、赛门铁克、Fortinet、Check Point、WatchGuard、国际商业机器公司和SonicWALL在内的供应商参加。包括思科在内的一些厂商，决定不参与测试。其它一些厂商由于退出市场而不再更新设备。到目前为止，五家厂商已经提交了产品，它们是瞻博、SonicWALL、Astaro、WatchGuard和国际商业机器公司。如果其它厂商再送来设备，我们会将其列在后面。

　　我们对提交的设备从设计、功能、互操作性、可扩展性、升级功能、安装、配置、行政、管理、易用性、质量和工艺等角度进行了评估。

　　Astaro 525安全网关

　　Astaro 525安全网关是ASG产品线中最高端的型号。在该产品线中，共包含了六种型号，最小的是针对十名用户的，依次类推，最大的就是525安全网关。由于该设备包含了软件解决方案和虚拟应用工具，所以它的兼容性很广。

　　销售商声称525安全网关可以支持六百到三千名使用者，这是一个相当大的范围。具体数目将取决与公司要求以及网络使用情况之类的环境问题。

　　525安全网关以及其同类产品可以提供标准的和VPN功能，支持进行内容过滤、垃圾邮件过滤、病毒扫描、入侵检测和带宽管理等操作。比较有趣的是，它还可以支持处理电子邮件加密，在当前企业级领域，这是一种正在迅速普及的审核方式。

　　525安全网关安装在一个全长的2RU机箱中。前端提供了十个以太网(10/100/1000)端口、以及额外的以太网管理端口、两个串口和两个USB接口。一个小型的液晶显示器(LCD)用来显示状态信息，四个按钮用来查看状态信息。两对状态指示灯用来提醒电源和硬盘驱动器(HDD)的使用情况。每个以太网端口都采用了两个LED指示灯来表明连接和活动的状态。

　　在机箱的底部两侧是通风良好的格栅。后端是两个锁定的移动硬盘;三台抽气扇和一个VGA端口(这些设备都是基于标准的个人计算机架构上的)。后端还包含了电源开关、重启开关、另一个电源指示灯和两台电源，每台都是使用单独的供电线路独立工作的。每台电源都有两台抽气扇。

　　Astaro声称它不同于大多数其他的统一威胁管理(UTM)设备厂商，因为它不仅可以提供硬件产品还可以提供软件光盘映像。据此，该公司认为，客户不仅可以根据不受限制的许可证模式选择适合自己的设备(这时，只有客户硬件设备的限制才是整个解决方案的极限，直到网络发展到需要更大更好设备的时间)，还可以选择基于Astaro提供的基于光盘映像的IP分层保护模式的软件解决方案。

　　Astaro的软件可以象硬件设备一样提供相同的功能，并且，它容许最终用户使用自己的基于x86的硬件设备。因此，客户可以将调整的服务器作为Astaro统一威胁管理设备使用，直到网络发展到需要更大更好设备的时间。该光盘映像软件也可以在虚拟环境下运行，从而进一步降低硬件的费用。

　　Astaro认为ASG设备的目的是为公司、个人和系统管理员解决问题。它将重点放在最终用户上，经常倾听他们的意见。这些产品超过百分之七十特性和功能的改进，都是来自用户的意见。Astaro的用户将看到产品越来越适合他们的需要。

　　总的来说，设备的安装和初始配置操作是比较简单。和大多数UTM设备一样，Astaro提供了一些管理选项，并且包含了一个非常出色令人惊叹不已的功能。Astaro将它们以符合逻辑方便使用的方式结合到一起。

　　ASG设备的管理界面

　　该设备的设计非常合理，并且功能非常丰富。设备本身的制造技术也很优良。我们预计，到今年年底的时间，它将在企业安全市场上占据较大的份额。

　　在维修服务方面，它可以提供一年、三年和五年的选择，项目包括了软件更新、硬件更换和技术支持(网络、电子邮件和电话)。金牌服务包含了Astaro的合作伙伴在工作时间内提供的技术支持。白金服务进一步扩展为24/7全天候的技术支持。你需要了解下面的价格：525安全网关一年期金牌服务的价格为7457澳元，如果选择更高级别的话，价格会更昂贵。五年期白金服务的价格就高达47233澳元。

　　这一价格范围，即使考虑到产品是针对大型企业，也是非常高的，在40800到60100澳元。

　　在安全设备市场中，Astaro面临着非常激烈的竞争。如果公司的首席财务官能够容忍这一价格的话。你可以将Astaro产品列入名单中。

　　Juniper Networks SSG550M

　　Juniper Networks SSG550M是520的高端型号。它们之间的主要差别是性能和冗余选项。Juniper 声称550可以提供1Gbps的最大吞吐量和500Mbps的安全过滤宽带，而520的限制则是650Mbps和300Mbps。550还可以支持选择冗余电源，而520不能。对于电信公司来说，有个好消息，所有这两种型号都可以支持交流或直流电源。

　　SSG550M被安装在黑色的大型2RU机箱中。在机箱前部，包含了六个模块扩展槽——其中两个被16端口10/100/1000倍高网络模块所使用。一个扩展槽被ADSL卡所使用。前部的端口包含了另外四个10/100/1000网络端口、两个USB端口、一个控制台端口和辅助端口。电源和重启/配置开关采用凹入方式的，并且提供了电源、警报、状态和可用性的指示灯。每个网络端口还有两个LED指示灯显示连接、状态和活动情况。移动蓝色塑料面板可以看到通风过滤器;在机箱后部是更多的通风格栅。电源模块的连接也位于后部，使用的是国际电工委员会(IEC)标准的电源连接线。

　　Juniper 认为550M可以将高性能、安全性和局域网/广域网连接完美地组合起来，可以部署在地区和分支办事处等办公环境中。ScreenOS是Juniper 提供了实时安全特殊操作系统。它包括一系列特定的安全和管理工具，主要有：

　　· 符合常见标准并经过国际计算机安全协会认证的状态检测防火墙

　　· 支持互操作和安全通信的国际计算机安全协会认证IPSec VPN网关

　　· 深层检测防火墙可阻断应用层攻击

　　· 基于卡巴斯基实验室扫描引擎的防病毒保护，其中包含了反钓鱼、反间谍软件、反广告软件保护

　　· 与赛门铁克合作提供的反垃圾邮件保护，可以阻止已知的垃圾邮件和网络钓鱼攻击

　　· 采用了SurfControl提供的内容过滤技术，可以阻止对已知恶意网站或其他不适当内容的访问。

　　· 基于虚拟化功能的网络划分

　　· 拒绝服务攻击(DoS)牵制功能

　　· 面向H.323、SIP、SCCP和MGCP的应用层网关，可以用于检测并保护VoIP流量

　　考虑到Juniper 在网络方面的优势和令人印象深刻运营商级的设备服务，难怪该公司的防火墙平台在普通网络支持功能方面也有着不俗的表现，举例来说，BGP、OSPF和RIPv2等路由协议都可以获得支持。 这样的融合功能可以在公司使用多种服务/服务商的情况下，为网络提供巨大的冗余。通过监测动态路由路径，可以在故障出现的时间，自动将连接转移到其他线路或者服务商上。Juniper 提供了动态路由功能，还使得以路径为基础的虚拟专用网得以实现(定义多条VPN通道并且根据路径为流量选择最适合通道的技术)。

　　Juniper 在图形用户界面管理/配置的设计上显得有些守旧，但功能本身并不落后。对于熟悉Netscreen/Juniper 界面的用户来说，它保留了传统的外观和感受。它还保留了一个菜单系统，可以提供多层次的设备访问。Juniper 还增加了一个新选项，可以将传统菜单转换为包含Java功能更整洁的菜单，可以实现一次点击弹出子菜单。不过我们的工程师发现，无论是采用哪种方法，配置/管理项目都很方便。

　　Juniper 网络的图形用户界面

　　不论设备是属于远程环境还是位于本地，Juniper (和货运业有着深厚的渊源)都提供了管理的方法。从标准的网络图形用户界面到以传统主机为基础的会话都被包含了进来。集中管理也是一个选择，并且，你会发现在必要时应该在不同的地域部署一些设备。

　　总的来说，这是一台功能非常强大并且可进行高度定制的设备。在历史上，Juniper 就以提供用于关键任务的高可用性产品而著称。在澳大利亚企业和政府市场中，在任何情况下该设备都可以满足大中型企业的要求。

　　该设备的保修期为从购买之日起的一年之内。对于所有产品，Juniper 都提供了两种类型的技术支持和维护选项：

　　· JCARE选项：Juniper 的合作伙伴或经销商将(除了销售产品)销售设备维修合同。在这里可以对是否返厂、次日还是当日进行选择(取决于客户的服务品质协议)。所有的技术支持请求(举例来说Juniper 网络技术支持中心、软件、硬件)都由Juniper 直接提供给最终用户。

　　· JNASC合作伙伴：作为Juniper 网络支持中心授权的合作伙伴，可以直接向最终客户提供的一级和二级支持服务。在Juniper 升级支持下，合作伙伴可以为最终客户提供主要的技术支持。Juniper 协助JNASC合作伙伴进行提高，并且提供三级的技术支持为最终用户解决面临的问题。

　　我们测试的550M，考虑到设计、应用、特色和功能，拥有一个非常合理的价格，15487澳元。

　　SonicWALL E-Class NSA E5500

　　一想到这么美丽的产品将会被锁定在隐藏于公司内部的数据中心的机架上，真是会让人产生非常失望的感觉;E级产品线的外观实际上非常具有吸引力。但可悲的是，唯一能感受到这种美丽的是进行例行保养的工程师。

　　SonicWALL制造的信息安全系统不仅外观美丽，性能也非常出色。该设备被安装在1RU的银色机箱里，前面板材料采用了经过铣削和拉丝的金属铝，包含了八个网络端口，一个高可用性端口，一个控制台端口和两个USB接口。

　　前面板还安装了一个小型液晶显示屏，一个复位开关和四个状态指示灯来显示电源、测试、警报和硬盘的活动。在机箱的两侧是通风格栅，后部则是电源(采用了国际电工委员会标准的电缆)，一个扩展坞和两台支持热插拔的风扇。

　　SonicWALL E5500的特色是提供了免费的深度包检测防火墙。该技术(在理论上)可以在不明显影响系统性能的情况下，支持任何大小和数量的文件。SonicWALL公司采用多核心技术，来保证性能的稳定。它还集成了可以自动更新的动态威胁防护技术，并且能够在没有管理员干预的情况下了解和阻止新类型的威胁。

　　E5500设备的安装操作非常简单明了，可以利用网络浏览器进行本地设置。图形用户界面为系统管理员提供了需要的所有功能。尽管该系统的界面看上去非常复杂，但查看和使用起来非常简单。

　　在E系列中，E5500属于低端的型号。对于SonicWALL来说，E系列属于旗舰级别的产品线，尽管E5500是其中的入门级产品，但这样的说法是正确的。

　　SonicWALL是一家只有你在进行研究的时间才会发现的普通供应商。在信息安全产业中，我们看到更多的是，到处传播恐惧，不考虑最终用户实际需求的臭名昭著的推广。而对于SonicWALL来说，安全工程师可以将SonicWALL所有产品融入一个统一的解决方案中，客户可以根据自己的环境，对其进行设计、挑选和组合，确保不会出现浪费。这样的话，公司就可以对安全解决方案进行调整，来满足实际的需求，并且通过中央控制台完成所有的管理工作。

　　SonicWALL E5500的管理界面

　　对于SonicWALL来说，它并不一定是一个单独的产品，而是产品集合中的一个部分。

　　在价格方面，SonicWALL的产品具有很大的优势。企业级设备的价格范围是从NSA240的1899澳元到E7500的28995澳元。在本次测试中使用的E5500位于10495澳元的价位，考虑到其实际功能，这个价格是非常合理的。

　　SonicWALL产品的标准技术支持为12个月硬件保修和90天的技术支持。如果额外技术支持的话，也可以选择“总体安全”服务包。它为硬件、所有安全服务和技术支持，提供了期限为一年、两年或者三年的选择。对于E级来说，技术支持包含了专门的三级支持。

　　WatchGuard Firebox X6500e UTM

　　对于WatchGuard来说，始终如一不能算是缺点。在过去的七年中，Enex测试了无数来自WatchGuard的产品，每一台都是独特的鲜红色涂装。这样，当在数据中心遇到它们时，你是不会错过的。WatchGuard在过去的三版Firebox中，也采用了类似的机箱。

　　WatchGuard还是一如既往，保留了“金螺丝刀”升级模式。用户可以选择使用软件“功能键”选择购买升级服务，这样，在无须升级任何硬件设备的情况下，就可以打开已经安装在系统中的更多功能和性能。

　　在整个产品系列中，Firebox X6500e属于中端，处于X5500e和X8500e(-F)之间。WatchGuard将该设备设定为应用在四百到两千用户的企业网络中，建议零售价格的范围为19348到31000澳元(取决于选择的功能)。提供给我们测试的设备价格为24863澳元。

　　和大多数现代安全设备一样，WatchGuard X6500e除了提供防火墙以外，还提供了大量的其他功能。作为统一威胁管理(UTM)设备，它可以处理包括间谍软件、病毒、垃圾邮件、混合型威胁、内容过滤、网络攻击、SQL注入、缓冲区溢出、拒绝服务/分布式拒绝服务攻击等在内各种各样的安全威胁。该设备的一系列功能给我们留下了深刻的印象。

　　X6500e包含了八个10/100/1000网络端口和用来连接设备前端的DB9M端口，另外四个状态指示灯被用来显示电源、存储设备、警报开启/关闭和扩展功能的活动情况。

　　机箱的两侧是设计良好的通风格栅，后部有三台风扇。这个机箱采用的是2U模块化托架，电源开关和电源支持设备(采用标准IEC电缆)位于在后方。但令人惊讶的是，该设备并没有包含冗余电源。考虑到针对的是企业级市场(并且考虑到价格)这一点应该是意料之中的。

　　WatchGuard声称该设备的最大优势是可以提供独特的零日保护，并且可以支持最高的二千兆比特每秒的防火墙吞吐量。Firebox X Peak功能是建立在应用代理防火墙技术上的，与状态包过滤技术比起来更安全。WatchGuard还介绍了设备提供的反间谍软件功能，可以在符合法律要求的情况下，保护公司机密信息的安全。

　　对于Firebox X6500e来说，网络属于固有功能。千兆位的防火墙吞吐量和八个10/100/1000以太网端口可以支持高速局域网传输和千兆广域网连接。

　　该产品线的另一个通用点是WatchGuard系统管理员工具(WSM)，WatchGuard在Firebox X6500e中保留了它。该工具需要在连接上Firebox X6500e之前，安装到系统管理员的计算机上;这个过程不是特别方便。因此，与其他利用内部网络开放端口(允许通过网络进行配置)的设备相比，X6500e可能更安全一些;毕竟，对于系统管理员来说，它还需要进行学习才能掌握。

　　在使用新的Firebox设备前，系统管理员必须先完成一个复杂的处理过程：在安全模式下对该设备进行初始化，从系统管理员的计算机(包括上传该设备的功能键到系统中)上运行设置向导，并建立临时的初步网络和访问密码。只有这样，系统管理员才能启动WSM并进行连接。

　　当存在多种Firebox产品的时间，WSM可以作为中央管理系统使用。只要连接上WSM，系统管理员就可以执行关键任务，进行连接或者利用固件策略管理器对设备进行配置，以及连接存取监控系统(俗称的Firebox系统管理员工具)。尽管操作非常复杂，但只要适应了WatchGuard的管理模式，大部分工程师都能轻松进行控制。

　　WatchGuard的系统管理员、防火墙系统管理器、防火墙策略管理器等工具

　　WatchGuard Firebox X6500e是一台精选的安全设备。它适合于大多数用户的网络要求。从功能升级的角度来看，功能键模式是一种非常出色的解决方案。这抵消了它相对较高的初始价格导致的劣势，并且可以确保在企业高速发展的时间设备不会很快被淘汰。

　　通过WatchGuard提供的LiveSecurity在线你可以每年为保修续期，其中也包含了高级硬件保修。产品技术支持的模式是星期一至星期五上午八时至晚上八时的网络和电话支持。

　　IBM ISS Proventia MFS MX3006

　　国际商用机器公司提供的ISS Proventia MFS MX3006属于一个拥有五名成员的产品系列，从最低端的MX0804到旗舰级的MX5110。对于企业来说，这是很好的选择，因为这样就可以实现在区域办事处或分支办事处部署小型设备，在主要工作场合的数据中心选择大型设备的方案，而不会出现因为使用单一产品导致应用和网络的安全由于不适合或者过剩而产生问题。

　　IBM声称该设备属于多功能安全防护设备，但这只不过是统一威胁管理(UTM)设备的另一种称呼而已。典型的统一威胁管理设备通常指得是将单独的安全技术集中到一起的设备。基本上，它应该包括防火墙和其他功能，举例来说，网络入侵检测、网络入侵防护、防病毒、虚拟专用网络(VPN)或内容过滤功能都可以融合到该设备中。

　　MX3006被安装在一个设计良好结构紧凑的1RU蓝色机箱中。机箱的具体大小为355x430x40毫米。前面板包含了六个RJ45网络接口、一个LED电源状态指示灯、一个用来连接控制台的DB9串口、一个可以显示两行数据/信息的液晶屏和用于导航的四个小型按键。由于按键采用的是和面板一样的塑料，所以操作起来非常困难。由于按键非常小，并且看不出什么变化，所以很难判断是否已经被按下，因为没有任何语音信息或者迹象能够证明这一点。

　　机箱的两侧都有设计良好的通风格栅。后面板上有一个IEC电源连接器、电源开关、两个USB端口、两个内部扩展端口用的插槽和四台小风扇，由于风扇的尺寸不大，转数非常高，所以听起来非常嘈杂。一些供应商会在其设备中集成温度传感器，使风扇根据设备的温度调整转数，从而在系统闲置的情况下减少噪音。但MX3006似乎没有这样的功能，或者说它总是全力工作的，因此运行噪音非常大。

　　MX3006集成的安全功能包括了：防火墙、VPN、入侵防护、防病毒、防间谍软件、网络地址过滤和防垃圾邮件。

　　IBM宣称该设备现在就可以检测和防范超过七千四百种漏洞，并且拥有世界上最大的内容过滤数据库，包含了九十亿条网络地址。防病毒模块包含了超过三十四万种已知病毒的特征码。还可以根据行为分析技术识别和拦截未知病毒。包括入侵保护系统、动态防病毒保护引擎和网址过滤器在内的技术可以对输出信息进行分析，防范间谍软件的侵入。IBM宣传该设备的最大优势是其过滤器可以过滤95%的垃圾邮件。

　　关于该设备的关键卖点是，它采用的安全技术来自IBM收购的ISS X-Force研究与发展团队(听起来象来自电影中一样)。

　　对于该设备来说，有多种方法可以进入管理控制台，其中最常见的就是通过网络界面。该设备的配置设定没有简洁明了。在LCD上将会显示每个已启动服务的信息，并为控制者提供了明确的提示信息。系统管理员可以通过一系列简单的安装来启动管理控制台。Enex认为IBM ISS MX3006是我们测试过的集成安全设备设置中最简单的。

　　管理控制台的用户友好性令人印象深刻。由于是基于网络的，管理控制台类似于传统的左手菜单系统。在其主页上包含了一目了然的各种功能面板。

　　MX3006的管理控制台

　　总而言之，IBM ISS Proventia网络多功能安全设备MX3006是一个功能很完善，控制管理很方便的集成安全设备。对于中型企业和不需要执行严格权限策略的公司来说，它是一个非常合适的选择。我们甚至可以这样说，对于需要在远程/分支办事处部署功能简单明了的安全设备的大型企业来说，它也是非常适合的。

　　该设备的保修期是一年;可以通过选择昂贵的年度维修费来延长期限，该费用为4228.40澳元(含消费税)。设备本身的价格是16000澳元，这并不便宜，但考虑到市场情况、功能和特点，应该是可以接受的。

　　结 论

　　对于设备来说，改装、更新和升级是常见的措施。而对于安全产品来说，三个关键点则是审核、分析和评估。实际上，对于网络安全产品来说，它们显得更为重要。

　　为了了解企业当前的实际情况，全面的审核工作是必须开展的，尤其是要重点关注现有的安全/网络环境。在有可能的情况下，应该制定和执行基准和指标，它可以为企业建立一个客观的简介。你可以采用该数据来对拟议中的解决方案进行评估，清楚得了解如何以及在哪里对现有系统进行改善。简介的数据也可以用于确保已经广泛部署的新解决方案运行稳定的保养周期中。

　　对于企业安全来说，风险审核也是非常值得的。它可以确定任何受到解决方案保护资产的价值和位置，并确保系统的规模和范围对于信息保护来说，是足够的。而不会出现在安全上花费十万澳元来保护价值仅仅为五千澳元的数据，这种毫无意义的情况。

　　分析实际的需求，并和供应商开始初步的谈判，准备进行试点。利用此分析作为指南，缩小供应商提供的可以满足企业需求的解决方案的范围。一旦开始了试点评估，最好引入第三方来对安全解决方案进行测试。这样可以确保产品包含了供应商宣称的所有功能，并且可以确保安全实现基于战略和风险审核的配套发展。

　　为了保证评估的有效，应当选择保持独立性的第三方。处于经验方面的考虑，内部安全工作人员往往会偏爱原有的系统;而且，可能由于过于偏重熟悉或者希望的功能，在测试中他们的眼界可能会过于狭窄，从而导致选择的结果对当前环境来说并不是最合适或有效的。

　　无论他们声称自己有多少专家，都要避免由供应商来对解决方案进行测试这种情况的出现。选择独立的第三方可以分散和减轻进行采购决策时的风险。

　　对本次测试中的设备进行排名是一件非常困难的事情。作为安全设备，它们的特点都很突出，在一万到四万澳元的价格区间中，每种设备都有其独特的优势。

　　如果希望配置和使用方便的话，你可以选择IBM的产品。如果你的选择是SonicWALL功能丰富的产品线的话，必须让安全架构师进行详细的规划以确保有效的实施。而对于大型企业来说，Astaro和Juniper经过精心设计的解决方案是不错的选择。如果企业正处在业务不断扩张的阶段，从成本效益的角度来考虑，WatchGuard提供的黄金螺丝刀软件升级模式是一个可行的选择。