评测WatchGuard Firebox Peak X6500e

WatchGuard提供了市面上最富有创意的UTM解决方案之一。它的Firebox Peak X6500e展现出比这里介绍的另两个厂商更高级的功能。

X6500e出厂时附带经过严格控制的默认配置。所以，解决方案的提供者可以轻松启动并部署它。根据测试显示，X6500e默认关闭了入站通信，并开放了LAN端口。为了启动并运行它，测试人员将一台测试PC连接到Firebox的可信端口上，并安装了WatchGuard System Manager客户端，这个软件会从网络上的所有Firebox设备处收集信息。然后，通过System Manager软件，我们可以全面管理网络上的每一台设备。

在UTM领域，WatchGuard创建和管理防火墙策略的方法是独一无二的。由于需要在一台远程PC上安装WatchGuard System Manager客户端，所以作为System Manager一部分的其他监视和管理工具也可以从一台远程PC那里使用。Policy Manager（策略管理器）正是这些工具中的一个。

对处在活动状态的Firebox设备进行故障诊断，配置应用程序，或者只是试验一下设置的时候，Policy Manager是非常灵活的一个工具。使用Policy Manager，解决方案提供者甚至可以在不连接一台活动Firebox设备的前提下创建策略。事实上，他们甚至没有必要连接局域网。换言之，这些工作甚至可以拿回家里完成。配置文件可以本地保存在一个XML文件中。在连接到实际的网络和设备时，对一个策略进行的所有更改都会被立即执行。

首次启动X6500e的时候，默认代理和包过滤规则会立即阻止入侵者对局域网进行探测。在要阻止和要放行的内容之前，默认设置取得了一个非常好的平衡，所以用户不会受到太大的影响，而且可以在不受任何干扰的前提下继续用Internet从事业务处理。

然而，一些行为和文件下载会立即被禁止。在默认设置下，X6500e会阻止可执行程序、SCR（屏保）和CAB文件。被默认阻止的大量文件也是已知容易携带恶意软件的。

新手用户假如需要为HTTP其他协议创建一个过滤器规则，那么可以启用系统自带的其他过滤策略。整个体系结构是可扩展的。评测人员建议查阅WatchGuard的《系统管理使用者指南》，其中详细解释了所有默认策略。这本指南也可以让用户很好地理解代理策略是如何工作的。

WatchGuard的代理策略（proxy policies）在整个UTM领域都是非常独特的，能比简单的包过滤策略（filter policies）更好地保护客户机和服务器通信。“代理”（proxies）使用正则表达式，在数据包的级别上分析内容。例如，一个典型的HTTP代理规则可以剥离出来自任何DoubleClick域的cookies。

使用这种规则，DoubleClick就不能追踪位于Firebox设备后面的用户。从管理员的角度看，代理规则可以有效地节省时间，因为它们实现了管理的集中化，而且可以减少大多数客户端的浏览器配置。正则表达式甚至可以识别浏览器的配置。例如，解决方案的提供者可以针对没有关闭图像浏览功能的浏览器创建一个规则，阻止它们显示来自Google搜索结果的图像。

除此之外，代理规则还减轻了网络通信负担，因为它们在防火墙处阻止数据包内容。来自Web网站的数据包也不必通过其他第7层功能，所以网络延迟也得到了缓解。另外，WatchGuard的正则表达式是可编程的。事实上，我们在这里评测的另外两个厂商根本没有提供能和WatchGuard的代理编程功能匹敌的产品。WatchGuard还专门开设了一个论坛，方便解决方案的提供者们相互交换正则表达式。解决方案提供者可以创建代理表达式，强制Internet用户只能访问特定目录上的特定文件。这种高级功能可以对作为Web应用程序的一部分、并在LAN中运行的服务器应用程序进行保护。

为了跟踪通信信息，Firebox System Manager包括了一个Traffic Monitor工具，它可以对Firebox设备进行管理。Traffic Monitor能实时显示当前通信情况。数据通过防火墙时，日志信息会连续地更新。WatchGuard的监视功能是独一无二的，因为它允许解决方案的提供者与它实时交互。

实时监视功能还有助于解决方案的提供者及时地响应最终用户的请求。例如，假如一个网页有一部分无法打开，解决方案的提供者可以打开Traffic Monitor，并调查为什么Firebox会拒绝一个特定的数据包。假定是因为网页中的一张图片含有病毒或木马，解决方案的提供者就可以告诉用户不要访问那个网站。

利用WatchGuard的Traffic Monitor，相较于市面上的其他UTM设备，解决方案的提供者可以更全面、更详尽地了解网络通信情况。这个工具甚至能判断出这样的一个趋势：越来越多的恶意软件来源于当用户从合法网站下载内容的时候隐藏在网页中的恶意代码。这个趋势现在有了一个正式的称呼，即“drive-by下载”。更重要的是，解决方案的提供者可以给最终用户一个诚实的回应，而这在如今是很少有人做到的。