CheckPoint Safe@Office 500系列UTM统一威胁管理系统测试报告

　　早就知道Check Point 软件技术有限公司是因特网安全领域的全球领先企业，一直致力于高端安全产品的研究开发，与Nokia ,Microsoft等300多个OPEC组织成员合作，在全球财富500强占有率超过98%。现在面对中小企业市场推出的Safe@Office UTM系列设备，使中低端用户也能以其可以承受的价格享受到全球首屈一指的互联网安全解决方案，与全球财富500强企业保持同样的竞争优势。

　　经过两天的等待，终于从讯宜国际拿到一台UTMSafe@Office系列设备，这次测试的是一台500系列25用户产品。

　　固件版本：6.5.28x

　　硬件类型：SBox-200

　　硬件版本：1.1G

　　首先映入眼帘的是其朴实而不失专业的外包装，红黄相间的主色调秉承了Check Point一贯的专业风格；小心翼翼的拆开外包装，立即被这个做工考究的小家伙给吸引住，红色的机身，让人联想到加利福尼亚州红木城。

　　前面板规则的排列着15个指示灯，包括电源、内网安全区、非军事化安全区、外网安全区、虚拟专用通道、设备管理等指示一应惧全，不用进入配置界面就可以清楚的了解设备运行状况。

　　背板整齐排列着电源、复位按钮、管理口、10/100M自适应WAN口、DMZ/WAN2口以及四端口LAN小型交换机，对于小型SOHO办公的企业完全可以省去一台10/100M交换机以节约用户的投资成本。

　　随设备提供了一条标准的5类屏蔽双较线，一套专用设备电源、一张产品光盘以及快速安装手册，完全可以满足用户设备安装调试的需要。

　　OK，马上进入实际操作阶段，当我仔细浏览了快速安装手册上的安全指导后，让我顿生了对Check Point公司的敬意；我在安全行业也打拼了多年，经手测试的安全设备也算不少，能做到象Check Point这单配置的设备的确不多。

　　好了，不卖关子了，这个功能就是以域名方式来管理设备，虽说也不是什么大功能，但对于初接触网络的用户来说，只用把管理主机网卡设置为“自动获取IP”模式，连接到任意一个LAN口，就能用IE浏览器http://my.firewall域名门户来管理设备了，相对那些对管理IP有固定要求的设备来说简单了不少。

　　登陆进来了，果然是全中文化界面，完全符合中国人使用要求，也算是Check Point公司为中国中小企业用户做出了一些贡献吧！恩，本地化支持还不错了，呵呵！下面正式对Safe@Office各项指标进行一个测试。

　　一、安全功能测试

　　1.1 防火墙等级设置功能设置

　　Safe@Office设备在防火墙功能设置上采取了与国内外著名厂商在个人防火墙上采用的简单设置方式，提供了四种不同的安全级别，结合Check Point公司在网络安全方面的成功经验，为普通网络系统管理员提供了更简单更安全的设置方式。

　　1.2 服务器映射功能设置

　　通过服务器设置界面，我们可以快速的将内部应用服务器映射到公网，以保证外网用户能以安全的方式成功访问到相应的应用。Safe@Office设备同时提供了多种应用服务能力，包括Web、FTP、Telnet、电子邮件、PPTP、VPN、VOIP等，能满足现在主流的应用服务需求；设备提供“仅 VPN”选项按钮，对Internet用户是否可以访问应用服务器可选，在提供了满足企业移动办公人员远程访问应用的服务能力的同时保证了服务应用的安全。

　　在本次测试中，我们在DMZ区域部署一台笔记本用来提供WEB服务，打开系统WEB服务器功能，并选择了“仅 VPN”选项，测试结果：完全满足了系统需求。

　　1.3 安全规则设置

　　规则设置界面提供向导式更丰富的策略设置功能，对IP、端口、QOS质量、是否记录日志进行设置，可以完全满足高级系统管理员对网络复杂的应用管理需要。

　　1.4 服务优化功能设置

　　在SmartDefense服务优化配置界面，我们可以看到，Safe@Office为我们提供了大量主流的应用优化控制能力，包括防止网络攻击（LAND、DDOS……）；TCP、FTP、HTTP、IGMP等协议控制的高级设置；P2P应用控制；IM即时通信应用控制等多种深入控制功能。为现今网络安全管理员最棘手的多种安全问题提供了强大的解决方案。实现了入侵防御、P2P控制等多种安全功能。

　　在本次测试中，我们对P2P应用eMule进行了设置，在内网运行eMule客户端，测试结果：P2P应用被完全控制。

　　1.5 无屏蔽主机功能设置

　　Safe@Office提供的无屏蔽主机设置功能，可以允许从 Internet 到指定计算机的无限制访问，提供了灵活的访问能力。当然，在此警告：这个功能可能造成指定计算机容易遭到未授权访问的攻击。

　　二、防病毒功能测试

　　2.1 防病毒控制设置

　　在防病毒方面，Safe@Office设备提供了防病毒功能设置开关。病毒库提供定期自动更新和手动更新两种模式，提供了完整的网关型防病毒功能。

　　2.2 防病毒策略设置

　　在防病毒策略设置功能上，系统提供了灵活的设置方式。满足网络安全管理员结合网络实际应用，在扫描能力和扫描效率上达到平衡。

　　2.3 防病毒高级设置

　　通过高级设置功能，结合Check Point公司在网络安全方面的成功经验，可以对电子邮件中潜在的不安全文件类型进行阻止，对安全的文件类型不须扫描而直接予以通过；对于压缩文件，系统在保证效率的情况下，通过设置最大嵌套层次和最大压缩率来对压缩文件是否扫描进行控制，同时根据管理需要可以采取适当的安全措施。

　　在本次测试中，我们将防病毒功能完全打开，并及时升级，通过访问www.eicar.com病毒测试网页。测试结果：系统正常拦截了所有病毒。

　　三、内容过滤功能测试

　　3.1 WEB过滤功能

　　Safe@Office设备通过与全球权威的WEB网站列表组织提供的服务列表同步，当开启此项服务时,将能限制对不适宜网站的访问。

　　3.2 电子邮件过滤功能

　　Safe@Office设备通过与全球权威的电子邮件列表组织提供的服务列表同步，当开启此项服务时，将能过滤掉网络中的垃圾邮件；当开启电子邮件防病毒功能后，也能对网络中的电子邮件应用进行扫描，过滤掉感染病毒的那些邮件。系统在选项中提供了POP3和SMTP的选择按钮，保证网络安全管理员能对邮件过滤功能进行灵活的控制。

　　四、VPN功能测试

　　4.1 VPN服务器

　　Safe@Office设备可以作为VPN服务器端设备，允许移动办公人员通过Internet方便的接入的功能内网

　　。在此特别指出的是：移动远程接入客户端全部可以免费从Check Point网站获得，相比国内外其他厂家提供的收费移动客户端解决方案来说，显然降低了用户的总体拥有成本。 Safe@Office对网络环境的支持可谓是绝对的丰富，我想这一方面与Check Point多年在安全行业的积累分不开，另一方面Safe@Office系统与全球财富500强高端设备使用的软件完全相同也不无关系。

　　4.2 VPN站点

　　Safe@Office设备也可以作为客户端来与同类型的Safe@Office设备互连，同时也支持所有基于标准的IPSEC VPN设备的互连。策略方式可以采用SMP管理服务器统一下发，也可以采用手工设置；在认证支持方面，Safe@Office也提供了包括：预共享密钥认证、证书认证、RSA认证等多种认证方式，可以完全兼顾用户方便安全的整体需要。

　　在本次VPN测试过程中，我们选用了上海安达通的标准IPSEC VPN产品进行互通测试，在长时间VPN通道建立和数据传输的情况下，能保持稳定运行；解决了在大型网络环境中中心端Safe@Office设备不能满足性能需要的尴尬局面，完全可以优化用户的整体拥有成本。

　　采用通过VPN登陆界面，我们也可以实时的了解VPN隧道建立情况，通过控制，完全可以让网络安全管理员达到一切尽在掌握的要求。

　　五、用户管理功能测试

　　5.1 本地用户管理

　　Safe@Office设备支持对用户的本地管理模式，对不同的用户进行不同策略的设置，提供了灵活的功能。

　　5.2 RADIUS用户管理

　　Safe@Office设备支持第三方RADIUS 服务器认证功能，可以满足复杂的用户认证环境。

　　六、日志/报告功能测试

　　6.1 事件日志功能

　　Safe@Office通过基于VPN、日期、时间、协议、源IP地址、源端口、目的IP地址、目的端口等关键项目进行记录，得出详细的事件日志列表。

　　6.2 流量监视器报表功能

　　Safe@Office可以对通过设备外网接口、LAN接口和DMZ接口进出的流量进行统计，并形成柱状图以方便观测。同时对流量进行分类，用不同的颜色进行显示，直观的反映出防火墙接受和阻止的通信流量以及VPN加密数据量。

　　6.3 活动计算机报表功能

　　活动计算机列出了当前通过Safe@Office设备所有的活动计算机，包括IP地址、MAC地址、主机名以及IP地址是否为自动获取，利用添加按钮可以方便的增加网络对象，以简化网络安全管理员设置网络对象的工作。

　　6.4 活动连接报表功能

　　活动流量列出了当前通过Safe@Office设备所有的活动连接，包括连接协议、源IP地址、源端口、目的IP地址、目的端口、QOS类型等。

　　6.5 日志服务器设置

　　在一个对日志管理复杂的企业环境，Safe@Office产品也提供了强大的分布式部署形式，支持在网络中专门部署一台日志服务器来承担相应的日志管理工作。

　　6.6 SMP报表功能

　　在Safe@Office连接到SMP管理中心后，系统定期向注册的邮箱发送完整的网络情况报告，所有报告支持饼状图模式。同时SMP系统提供对内部网络的定期评估功能，结合到SMP报表中，可以使网络安全管理员更全面的了解网络运行情况。

　　七、其他功能测试

　　7.1 动态DNS功能测试

　　Safe@Office通过连接到SMP管理中心，SMP为每个Safe@Office设备提供一个动态DNS地址，让Internet用户直接访问动态域名就可以接入内网服务器，解决了在用户通过拨号上网每次获得的网络IP地址不同的问题。

　　7.2 双链路支持功能测试

　　Safe@Office可将DMZ接口作为连入Internet的第二条备份链路接口，当主链路出现问题的时候，备份链路可以及时顶替，提高了整个系统的可用性，在同类型的设备中，这项功能几乎没有，这可谓是CheckPoint为中小企业用户提供的又一项创举。但由于是链路备份，当然就会有一条链路闲置，造成资源浪费，如果能变成链路负载均衡就更好一些，希望Check Point能在此基础上更进一步。

　　7.3 MAC复制支持功能测试

　　在一些特殊的环境下，网络对IP、MAC会有一定的限制，而每个网络设备的MAC地址在出厂时就已经固定好了，在本次测试环境中，我们就碰到了这个问题，幸亏Safe@Office提供了MAC复制功能我们才得以继续测试下去。

　　7.4 诊断工具

　　在这次测试中，让我们感到欣慰的也包括Safe@Office为我们提供的强大诊断工具。包括：IP工具、包嗅探器和设备故障诊断工具等。使专业维护人员可以直接利用这些工具，方便的诊断整个网络的状况以解决安装调试运行中遇到的问题。

　　总结

　　本次拿到讯宜国际的Safe@Office500（25用户）设备在用户环境中使用了两周的时间，我们把防病毒、防垃圾邮件等多种功能全部打开，性能上完全满足了用户的需要，没有出现任何故障。本设备提供了从基本安装向导设置到及复杂的高级设置功能一应俱全，满足了不同层次的网络安全管理员的设置需要。

　　本次由于测试环境有限，只进行了基本功能测试和一些简单的性能测试，从测试效果来看， Safe@Office 500系列UTM设备作为一款部门级或OFFICE级的硬件网关设备来说，确实是一款非常不错的产品，其所提供的丰富功能、非常好的稳定性及非常高的性价比令这套设备具备了及强的竞争优势。