网络安全设备评测：谁是最好的防火墙

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　最近几年，防火墙技术的发展变化趋势看上去是非常有趣的。它已经从使用基本软件和简单规则的系统，进化成为可以对大量威胁进行有效处理和策略配置的融合安全工具。

　　现在，我们已经很难找到单独的防火墙了。实际上，大多数路由器都包含了这一基本功能，甚至在网络交换机中，我们也发现了可以执行端对端操作的功能。

　　两三年前，安全厂商也开始尝试推出第一代和第二代融合的安全设备了。而如今，这些设备已经是完整的套装了，不再仅仅是很久以前意义上的防火墙了。现在，它们通常被称为安全设备或采用统一威胁管理(UTM)设备这样华而不实的名称。UTM设备涵盖从防火墙(状态和深度包检测)到垃圾邮件、病毒、反间谍软件、内容过滤等在内的各个领域。

　　在这一领域，最新的发展趋势是供应商正积极推动将传统的网络路由和交换功能之类的技术进一步融合进日益一体化的网络和安全设备。这并不意味着减少网络地址是正确的方向，供应商这么做的原因是希望解决网络服务质量(QoS)、数据包整形和带宽管理之类大型网络存在的固有问题。对于很多公司来说，首席信息官都在这方面花费了大量的时间和精力。

　　从管理角度来看，融合在一起的功能越多的解决方案意味着操作起来可能更简单，特别是在管理一家覆盖范围很广的大型公司时。如果你正在考虑单一解决方案的话，这些设备能够单枪匹马地满足安全和网络方面很大一部分的需求。它们可以帮助降低成本、复杂性、集成和管理方面存在的问题。但这个问题的反面是，所有的鸡蛋都在一个篮子里。如果不法之徒找到了一种正确方法的话，后果就不堪设想了。因此，这还是一个鱼和熊掌不可得兼的问题。

　　对你的安全环境进行规划

　　在考虑网络安全环境的规划(除了了解已经老化了的系统以及实际需要进行的更换)时，确保你已经充分了解了当前的情况和面临的风险。随着时间的流逝，面临的威胁和风险也

　　会不断发生变化，因此需要定期进行监测。为了确保目前的保护等级对于信息安全来说是足够的，还需要进行定期审核。关注现有的安全措施，确保不会产生浪费，它们应该用于更关键的位置，保护更重要更宝贵的数据。大多数公司都会低估信息资产的价值和安全。当然，我们也没有理由花费价值五万美元的安全解决方案来保护价值一万美元的信息。安全保护必须和数据的实际价值以及受到攻击的可能性相关联。

　　下面要做的就是需要确保你对需要得到保护的网络和系统有足够的了解。安全解决方案是不能够帮助公司了解通讯基础设备中存在的弱点的。最重要的是，你需要对系统外部连接点有着充分的了解。这里说的不仅仅是因特网和广域网(WAN)连接。人们通过高速网络连接同步他们的个人数字助理;USB设备在网络上频繁出现;无线网络遍布各处。审核、审核、再审核，这就是你要做的工作。建立分布图，确定风险的位置，进行检查和重新检查。

　　一旦价值、风险和环境情况都得到了确认，就可以准备开始设备采购了。尽管我们喜欢读者选购我们推荐的任何产品，但对于特定的环境来说，你还是需要进行自己的分析和研究的。环境往往是相似的，但不论是在技术、培训、预算等任意方面，任何两个网络的特征都不会是完全相同的。对于信息安全来说，是永远不能掉以轻心的。

　　完成了风险评估后，你就可以忽略安全顾问和供应商的恐惧、不安和怀疑(FUD)，专注于找到保护环境的解决方案。

　　找出符合要求的产品

　　对于很多客户来说，安全产品评测是在Enex实验室中定期进行的常规项目。

　　你应该根据自己对环境和风险的要求创建一个清单。然后，再了解厂商提供产品的功能，并建立一个必备要求的清单，与前面的清单进行比较。关注产品的功能，但不要仅仅考虑这一点，了解厂商对于你认为必备功能的观点。

　　有两个关键因素经常被忽视，它们是控制/管理功能和互操作性。请务必重视管理功能，如果没有合适的设备的话，在四十家分支机构进行部署的时间，如果供应商出现一个错误，后果就不堪设想了(是的，发生过这样的情况)。更不用说，如果你的网络工程师不能有效地配置和管理它时，会出现什么样的问题。互操作性也是经常被忽视的一个因素。如果你还有需要继续工作的老设备，这时应该怎么处理?创建一个此类产品和应用的清单，确保关键协议会得到充分支持。

　　一旦完成了整个清单，就可以开始联络供应商，询问他们对你的特殊要求的答复了。在进行示范和真实的实际模拟测试的时间应该确保是按照你的设想和要求进行的。测试方法和测试时的标准做法以及安全系统的评价标准是一个值得单独进行讨论的问题。对于解决方案和环境来说，有很多问题需要注意。

　　在进行测试的时间，有两个因素往往会被忽视，性能和主机故障恢复/冗余。

　　评价解决方案性能的时间，需要从确保流量的及时处理，不会出现瓶颈的角度来考虑，在这里特别需要注意的是，确保所有需要用到的功能都包含进去了。

　　主机故障恢复/冗余应该从两个方面进行测试。首先，产品不可能是万无一失的。一旦系统崩溃，是会开放所有数据，还是会直接锁定。尽管锁定所有数据为处理工作带来了极大的不便，但比起开放来，它的安全性好得多。

　　其次，冗余：是否选择和如何使用高可用性配置的设备?这包括了从是否选择多个风扇和电源到建立备用设备的方方面面。如何顺利地进行过渡?它们将如何安装并连接到网络的其它部分上的?对于主从设备的更新处理应该如何配置?在什么情况下进行设备切换，备用设备是要随时待机么?问题的数量是庞大的!

　　最后的一点，尽管很多人刚开始就询问了，就是解决方案的价格。选择三到四个产品以便进行竞争，这样的做法是明智的。当合同谈判开始(不论是与供应商还是和你的老板)时，你就有选择的余地了。

　　目前的产品

　　关于这一内容，Enex测试实验室的最新测试是2005年8月做的。但到现在，这一测试仍然是广受欢迎的，所以我们更新了这一专题。

　　我们邀请了包括包括思科、迈克菲、网件、瞻博、北电、赛门铁克、Fortinet、Check Point、WatchGuard、国际商业机器公司和SonicWALL在内的供应商参加。包括思科在内的一些厂商，决定不参与测试。其它一些厂商由于退出市场而不再更新设备。到目前为止，五家厂商已经提交了产品，它们是瞻博、SonicWALL、Astaro、WatchGuard和国际商业机器公司。如果其它厂商再送来设备，我们会将其列在后面。

　　我们对提交的设备从设计、功能、互操作性、可扩展性、升级功能、安装、配置、行政、管理、易用性、质量和工艺等角度进行了评估。