UTM防火墙SonicWALL TZ190全面评测

　　硬件防火墙在企业级网络安全体系中具有举足轻重的地位，然而对很多中小企业来说，在选择硬件防火墙的时候却往往是高不成低不就，难觅佳品。今天我们为大家推荐一款适合中小企业的强大网络安全设备——SonicWALL TZ 190/TZ 190W。

图1、待测产品

　　测试产品简介

　　SonicWALL TZ 190/TZ 190W是一个功能丰富且强大的网络安全设备。TZ 190具有两个WAN口，集成3G无线WAN(WWAN)技术，具备防火墙和统一威胁管理(Unified Threat Management，UTM)安全功能，另外还有VoIP配置选项和八个LAN端口。而190W除了具有如上功能外，还支持802.11g无线局域网技术。更加灵活的一个功能是，你可以根据需要将标记着OPT(可选)的第二个WAN口分别配置为WAN口、LAN口或DMZ口!看到这儿，大家或许已经知道这这个设备比一般的中小企业网络设备具有更丰富的功能。

　　在本篇评测文章中，我同时测试了TZ 190和TZ 190W。两款型号设备的不同之处就在这个“W”上，即是否支持无线局域网。

　　外观及电路板

　　相比SonicWALL TZ 190W所具有的强大功能来说，它的外观体积非常小，只有25.4x17.8.x3.0厘米大小。前面板上有几个简单的电源和状态指示灯，以及WWAN、WLAN、WAN、OPT和八个LAN端口的信号强度灯。

图2、前面板

　　后面板上是RJ45端口和一个配置Console口。

图3、后面板

　　它的电路板非常“干净”，如下图所示。右上角的比较大的银色部分是WWAN卡所使用的PCMCIA插槽。它使用了由Cavium生产的芯片，采用的是Cavium的Nitrox安全处理器系列。另外它使用了被动冷却技术，因此没有任何噪音，具有128MB的内存和16MB的闪存。

图4、电路板

　　安装

　　我安装了TZ190作为我的主网关路由器和防火墙。网络中包含两台服务器、一个无线路由器、两个NAS设备、一个网络打印机、两个硬件VoIP电话和多个VoIP软件客户端、一个可网管二层交换机，另外还有四台客户端PC。

　　我使用了SonicWALL网站上提供的固件程序。TZ 190具有一个非常有用的固件升级菜单，让你可以轻松上传一个新的固件版本，重启之前的加载选项有三个：当前固件;默认配置的固件，以及使用备份设置的当前固件。这个功能非常有用，可以让管理员在更新固件后能够迅速恢复此前的配置。我选择了使用默认设置的当前固件设置选项，让设备从一个干净的状态下启动。

图5、固件选项

　　对于使用最新固件和默认配置的TZ 190来说，安装和运行非常简单。SonicWALL提供了多个不同的向导来简化配置过程，让你可以轻松上手使用它。

　　不过对我来说，我一般不喜欢使用配置向导，因为我喜欢控制和选择每一个选项。在本篇评测文章中我分别使用手动和向导两种方式来配置了TZ 190，发现配置向导非常好用。SonicWALL的工程师们创建的这个工具可以为用户节省下不少时间。通过配置向导，SonicWALL可以让你实现修改密码、配置时间设置、选择WAN/WWAN、配置WWAN卡、配置WAN连接和配置使用DHCP服务器等。尽管这些功能都可以通过手工方式设定，但是向导工具无疑更简单。

　　令我非常赞赏的一点是，SonicWALL的向导中包含了NTP(网络时间协定)配置。让网络中的所有设备具有相同的时间，这一点在排障时非常有用，可以让你通过查看日志来发现故障发生之时都发生了什么事件。

　　TZ 190的一个主要功能是它支持WWAN服务，向导可以指导你完成WWAN卡配置的整个过程。TZ 190可以使用WWAN卡作为它的主要互联网服务，或者作为WAN服务的一个备用。在我的网络中我把它用作备份，因此在向导中我选择“WWAN as a backup(WWAN作为备份使用)”。

　　在TZ 190上你需要手动配置静态DHCP，要求管理员手动输入每一个设备的MAC和IP地址。在我所使用的其它路由器中，有的可以简单的点击一个复选框来将一个IP地址永久分配给某一个MAC地址。当用户把鼠标移动到某个条目上后，会弹出一个浮动窗口显示该条目的详细信息，如下图。

图6、DHCP信息

　　配置向导完成后，以上设置将开始生效，TZ 190就已经配置好并开始运行：我的LAN设备已经可以自动获得DHCP地址，访问互联网，多数常见服务都可以正常使用。在进行任何其它设置之前，我先把目前的配置进行了备份，通过系统—设置菜单中可以很轻松的实现这一点。

　　无线广域网(WWAN)

　　WWAN，即无线广域网，是指由移动运营商提供的无线互联网接入服务。虽然这是一个非常有用的功能，但是考虑到目前国内的3G网络还没有真正开始运营，暂时不测试该功能。

　　双WAN口设计

　　TZ 190W具有一个备选端口，它可以配置为第二个WAN端口，也可以配置为DMZ端口，或额外的LAN端口。双WAN口连接是另一种形式的互联网冗余和灾难恢复手段。由于我只有一个接入线路，因此无法测试从WAN口到OPT口的灾难恢复，不过我可以将OPT口配置为一个WAN口，然后将互联网入户线接在它上面使用。如下图所示，TZ 190的接口设置显示真正的WAN口没有连接，而OPT连接则具有一个公网IP呈连接状态。

图7、OPT端口

　　对于双WAN口连接，SonicWALL还提供了四个负载均衡选项：Failover(失效转移)、Per Connection Round Robin(按连接轮询)、Spillover-Based(基于溢出)和Percentage-Based(基于百分比)。通过失效转移，当其中一个WAN口连接失败后，该设备自动切换到另一个WAN口。

　　统一威胁管理(UTM)：反病毒+反恶意软件+入侵检测

　　SonicWALL TZ 190不仅仅是一个具有防火墙功能的网关路由器。TZ 190同时是一个统一威胁管理(UTM)设备，具有防病毒、反恶意软件和入侵防护服务。TZ 190还包括内容过滤功能，可以让管理员阻挡用户访问恶意网站。所有这些UTM服务都收取年费，不过，在你注册设备后，SonicWALL让你可以免费试用这些服务30天。

　　当你首次登录到TZ 190中时，通过一个安全统计表，你可以看到SonicWALL的全球安全表现，其中包括过去两周内，SonicWALL设备所阻挡的病毒、入侵行为、恶意软件和数据攻击的数量等。

图8、SonicWALL安全设备的全球安全报告

　　据SonicWALL称，这些数字来自于它在全球的100多万台设备。通过这个页面还可以显示你的特定TZ 190的性能报告，你还可以把它下载下来。

　　该防火墙的反病毒功能可以从两个级别提供保护：网关和客户端。TZ 190每小时都从SonicWALL网络上对自身进行更新，确保它具有需ixinde特征库和升级更新，以更好的实现反病毒和反恶意软件检测。

　　在中心网关级别，我的TZ 190每天新增大约3000多个不同的病毒特征库文件。而且，SonicWALL可以根据附件类型类过滤网络邮件，同时还可以创建和管理你自己的黑名单来过滤垃圾邮件。如果带有可疑附件的电子邮件发送给你的网络中的用户时，他们会收到这样一条消息“你的电子邮件的附件已经被SonicWALL病毒过滤器所禁用。请联系你的网络管理员了解详细信息。”当然，这个信息可以按需定制。

　　在客户端，TZ 190可以通过配置来强制网络中的所有计算机必须安装SonicWALL反病毒软件，否则它们会被禁止访问互联网，并被提示下载安装合适的反病毒软件客户端，如下图所示。

图9、要求安装反病毒软件

　　SonicWALL的反病毒客户端实际上是McAfee的反病毒软件的一个精简版，提供反病毒和反恶意软件功能。

图10、McAfee提供支持

　　反恶意软件和入侵防护是SonicWALL的UTM功能的两个核心功能。我的TZ 190列出了464个恶意软件特征，同时还可以通过入侵防护提供更多的检测。举个例子来说，TZ 190列出了它能检测和阻挡的49种不同类型的DOS攻击。

　　通过内容过滤功能，你可以根据SonicWALL的网址、IP地址和域名数据库来防止用户访问不良网站。如果你在管理一个校园网络，或者希望阻挡人们访问某些网站，通过这个订阅服务，你可以轻松达到目的。当用户访问被禁止的网址时，SonicWALL会给出提示信息，“该站点被SonicWALL内容过滤服务所阻挡。”

　　防火墙

　　默认情况下，TZ 190会锁定你的网络。除非你创建了允许访问规则，所有从互联网到局域网的通信都会被这个状态数据包检测防火墙所阻挡。你可以通过公开服务器向导(Public Server Wizard)轻松的在防火墙上开放端口，该向导通过简单的三步就可以让你开放网络中的不同服务。通过这个向导，我能够轻松的在防火墙上设定开放对网络中服务器的SSH、VNC和终端服务。

　　一旦增加了一条访问规则后，该设备会产生一条NAT(网络地址转换)策略。通过一条NAT策略将源IP地址和端口与目的IP地址对应起来。SonicWALL OS允许创建512条不同的NAT策略。理解NAT策略是非常重要，因为当你删除一个防火墙访问规则的时候，它要求你首先删除NAT策略。

　　域(Zones)和地址对象(Address Objects)这两个概念对理解SonicWALL安全性也是非常关键的。我们可以通过域来控制接口之间的通信。接口可以被分组到域中。举个例子来说，默认域配置阻挡无线局域网客户端访问有线网络内的客户端机器或设备，要想改变它，可以通过把默认防火墙访问规则中的WLAN域到LAN域的通信从拒绝(Deny)修改为允许(Allow)。如下图所示。

图11、域访问呢规则

　　地址对象(Address Objects)对于网管们来说也是一个非常有用的配置工具，可以让你命名网络上的一些关键的设备，然后在SoniWALL OS的下拉配置列表中去选择它们。在下图的示例中，我创建了一个名为VOIP Server的地址对象，可以更直观的修改规则的配置。

图12、地址对象的建立

　　VoIP

　　我们还可以用SonicWALL这款强大的数据包检测防火墙来探测VOIP通信，简化了在防火墙中配置安全通过语音数据的设置过程。它可以支持的VOIP协议包括H.323和SIP。你也可以在你的网络上使用MGCP和SCCP的VOIP设备，不过你需要专门为它们创建特定的规则。

　　TZ 190可以监视所有VOIP呼叫的状态，在VOIP呼叫状态菜单中，你可以看到它们的日志和正在进行的呼叫。

图13、VoIP呼叫状态

　　TZ 190提供两种级别的VPN功能：点到点VPN、客户端到网关的VPN，它们都使用IPSec协议。要连接两个不同办公室的路由器，你需要创建一个点到点VPN隧道。当然，SonicWALL具有一个向导可以让你非常轻松的在两个SonicWALL路由器之间建立一个VPN隧道，或者你也可以在一个SonicWALL路由器和其它品牌路由器之间搭建起一个IPSec通道，只要两边的选项匹配就可以。

　　客户端到网关VPN功能可以让远端计算机连接到TZ 190上。这需要每一个客户端计算机加载SonicWALL的VPN客户端。不过如果你的系统是Vista的话，要使用它的GVC 4.0版本才可以。它的VPN客户端的安装过程也非常简单，同样有一个向导来让你进行连接配置。

　　设置好客户端到网关VPN功能后，我可以安全的从远程访问我的服务器和NAS设备。

　　为了测试SonicWALL客户端VPN的吞吐能力，我使用了一款名为Qcheck的免费工具，使用它来测试我的笔记本和局域网中的一台WindowsServer服务器之间的带宽，TCP吞吐测试的结果算不上很理想，从客户端到服务器的平均速度为1.572Mbps，从服务器到客户端为1.149Mbps，需要指出的是在测试过程中我使用了3DES加密，测试结果如下图。

图14、VPN客户端吞吐能力

　　它可以支持点对点VPN隧道数最大为15个通道，另外还最大支持25个并发远程访问VPN隧道。

　　无线功能

　　SonicWALL在它的TZ 190W中增加了对802.11b/g无线网络的支持，这使它可以作为一个无线AP或无线网桥使用。通过它的向导功能，你可以很轻松的启用它的无线功能。

　　通过无线状态菜单我们可以看出，TZ 190W可以支持32个并发无线连接。

　　TZ 190W支持几乎全部的无线安全功能，其中包括WEP、WPA、WPA2加密，同时还支持MAC地址过滤。正如上文所提到的，默认的域安全设置禁止WLAN客户端访问有线局域网。此外，TZ 190W将无线客户端划分到不同的子网络中。默认配置下，有线局域网客户端是在192.168.168.0 /24网络中，而无线局域网客户端则是在172.16.31.0/24网络中。通过这种设计，防火墙可以更好的控制两个网络之间的通信，防止不安全的无线客户端访问有线网络中的重要设备。

　　VLAN和QoS

　　在SonicWALL TZ 190中，通过在LAN的8个端口上实现PortShield，它可以最多支持八个VLAN。默认情况下，这八个端口都在一个VLAN中。通过将端口划分到不同VLAN中，可以有效减少广播。

　　图15、VlAN PortShield功能

　　TZ 190还支持为不同的通信类型分配带宽，即支持QoS。它可以确保敏感的通信数据类型得到足够的带宽，例如VOIP等。首先是定为WAN接口的带宽，如下图。

图16、带宽管理设定

　　接下来，建立访问规则来允许特定通信类型所能够使用的带宽百分比，如下图所示，我为VOIP通信设置了使用带宽的范围，最小10%，最大15%。

图17、为规则分配带宽

　　排障工具

　　在网络管理和维护方面，SonicWALL还包含了一些非常不错的工具，让网络管理员能更深入的了解问题发生的原因。在SoincWALL防火墙的系统菜单中你可以发现一个数据包抓包工具，它可以根据IP、协议、端口和TZ 190的物理接口来捕获所有数据包。

　　我创建了一个简单的过滤器，来捕获所有来自我的无线IP的数据包，如下图所示。

图18、抓包工具

　　这个工具会产生非常大的文件;TZ 190允许你将数据知道输出到一个FTP服务器上。

　　另外，在这个SonicWALL工具箱中还有一个非常有用的功能，它可以创建一个技术支持报告，通过该报告中的详细信息，你可以更有效的进行故障排查，例如它可以提供实时的CPU利用率报告，如下图。

图19、显示CPU利用情况

　　除此之外，TZ 190还可以提供该路由器防火墙的详细数据报告，例如某个IP的带宽使用情况(如下图)，某个服务的带宽使用情况，后者对在网络上有效管理QoS非常有帮助。

图20、基于IP地址的带宽使用数据

　　路由性能

　　最后我们对TZ 190进行了路由性能测试，测试结果如下表。

图21、路由吞吐能力

　　25Mbps的吞吐能力虽然比现在的许多个人路由器还要低一些，不过考虑到多数企业所拥有的互联网接入带宽尚达不到这个速度，因此TZ 190的性能已经可以满足它们的需要了。

　　结论

　　TZ 190/TZ 190W的功能远远超过了一般的消费者级别路由器，甚至与某些厂家的专业级产品相比都不落下风。

　　不过，在进行TZ 190功能测试的时候，该设备宕机了好几次，没有任何响应，断电重启后进入“安全模式”，需要为你的网卡设定一个静态IP地址，来访问SonicWALL的菜单，然后强制重新启动系统。

图22、安全模式

　　后来我又测试了TZ 190W，它要稳定得多，不过还是在修改设置的过程中发生两次进入安全模式的情况。值得一提的是，由于测试过程中需要不断的修改配置并保存它们，这给CPU和OS带来比较大的负载。

　　总体来说，对于这个网络设备所能完成的功能之多，我感到非常惊讶，它进一步整合实时网关防毒、防间谍软件、入侵防御，提供完整的深层网络安全防护以对付内外网络的各种恶意威胁。可以说它就是小型企业网络的一把瑞士军刀。