科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全谁是最好的UTM?UTM比拼测试出炉!

谁是最好的UTM?UTM比拼测试出炉!

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果你运营一个小型企业,你有很多安全解决方案可以选择。可以买一个300块钱的路由器,也可以花几万块买一个企业级防火墙,或者在这二者之中做出一些选择。

来源:网界网 2013年7月22日

关键字: UTM 网络安全 SMB

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

Fortinet

Fortinet的设备功能强劲,但使用流程也相当复杂。我们在测试中甚至需要多次给其技术服务部门打电话获取帮助。其仪表板中提供一些基本操作选项,经过一段时间的适应、菜单机制也还算可以接受。Fortinet产品提供极为强大的保护策略,大家可以在特定组中指定某个特定用户,要求其运行特定应用或者基于特定设备运行。

举例来说,我们可以设定一个纯访客组并为其分配特定权限,或者设定一个iPhone组并允许其随意浏览各类信息。

其URL过滤器同样表现出色,其中最突出的一项功能就是能像Elitecore那样利用谷歌、雅虎以及Bing的安全搜索模式移除网络中的特定内容。

它还提供自动将日志上传至云端的功能,名为FortiCloud。(用户可以免费使用1GB的日志存储空间。)除了五种安全模式之外,它还拥有一套强大的应用程序防火墙以及带宽管理功能,并可作为管理政策(例如安全模式)的组成部分。

Fortinet同时提供FortiClient端点合规性控制软件的Mac与Windows版本,作为UTM设备的配套机制。如果大家已经拥有客户端反病毒软件,则需要在安装FortiClient之前将其移除。IPsec VPN运行的也是这款软件,且能够支持SSL VPN。它同时支持动态DNS配置。

在链接方面,大家可以利用USB 3G监察数据调制解调器作为故障转移连接。如果大家想要连接Fortinet自己的Wi-Fi接入点,也可以在FortiGate Web控制台中对各接入点进行管理。

Fortinet的在线帮助机制虽然提供了一些不错的视频指南信息,但在搜索引擎与索引机制方面还应该再做出进一步改善。

Fortinet设备为内部网络环境提供16个有线以太网端口,要价为2898美元,是我们此次测试对象中开价最高的方案。

瞻博(Juniper)

瞻博的UTM可以当作对比研究的绝佳方案:它是一款功能最为完备的设备,安全保护功能完全取自瞻博自家最高端的企业防火墙,不过其安装与配置流程也最让人头痛。由于该设备的Web界面不够完备,大家可能需要通过命令行实现某些深入操作,这就要求管理员熟悉命令语法。虽然瞻博的设备也提供了一些分布式导航机制,但我们仍然在初始路由设置方面遇上了很多难题。

在竞争对手方面,如果大家需要对标准的80/443 Web管理端口做出变更(可能互联网供应商阻断了这部分流量),则可以轻松在界面中找到对应菜单选项并进行调整。但瞻博的SRX要求管理员在命令行中实现此类操作。不过无论选择哪个端口,我们都无法通过Web对设备进行远程管理。这看起来是一项安全功能,但实际效果却使SRX设备很难被中小企业用户所接纳。

SRX支持动态DNS,但还是老问题——需要在命令中进行设置。如果大家想要创建一套阻断应用中特定流量的规则,命令行将再度出现——在测试流程中,我们添加了一项规则来阻止YouTube视频流。最难打理的一项任务在于一套特殊阻断页面,但这种机制在其它UTM设备中属于默认选项。瞻博此番可有点冒天下大不韪的意思。如果大家希望添加对QoS、带宽调整、链路检测及故障转移功能的支持,请在命令行中寻找答案。

除了在命令行中埋头苦干,即使是最简单的任务也需要管理员在Web菜单中来回点击和浏览方可完成。如果对界面布局不够熟悉,这种工作量设计很可能直接把人逼疯(瞻博承诺在未来的版本中简化Web界面使用体验)。更糟糕的是,瞻博还提供两套不同菜单排布外加不同命令布局——一套用于配置、另一套用于监控。

我们对SRX管理下的单独瞻博无线接入点进行了测试。实践证明,瞻博提供了多种不同的菜单访问流程以完成无线网络的配置及运行,其使用体验远比Check Point或者SonicWall的方案要复杂。另外,我们在一台设备上只能管理最多四个接入点,而且第三及第四个接入点还会产生额外的授权费用。好消息是所有接入点都能够同时实现2.4及5GHz频段,且支持多套SSID。

SRX还存在其它一些缺点。首先,它只支持IPsec VPN并搭配Pulse客户端软件——既没有集成Active Directory,也不像FortiClient那样集成基于客户端的终端保护措施。与SonicWall相比,SRX目前尚无法通过SSL进行深度数据包检测,不过瞻博正在努力加入这些功能。

另一项好消息是,大家可以将任何变更回滚至之前版本。尽管有瞻博公司的工程师在身边坐阵,我们仍然会不时使用这项功能以免自己陷入大麻烦。大家在使用中可能也需要每完成一个步骤就提交一次配置变化,至少各位将此视为贴心的功能还是恼人的设定就见仁见智了。

另外,大家拥有大量反病毒与URL过滤方案可供选择,在这方面瞻博提供的备选方案确实在此次测试的众多对象中独树一帜。在反病毒方面,如果大家选择了卡巴斯基,也就必须下载其配套扫描工具并对设备进行一次全局扫描;相比之下,Sophos将一切工作放在云端完成,也就不会占用设备中的CPU或其它任何资源。

瞻博的UTM产品售价为2699美元,其中包含八个有线以太网端口。这样的价码使其在本轮测试对象的使用成本方面位居前列。这些端口在默认情况下属于大型交换LAN体系中的组成部分,但也可分配给其它网络使用。

Sophos/Astaro

Sophos买下了Astaro UTM产品线,并为其提供一套颇具吸引力的菜单布局与简便的设置流程,例如将不同端口创建为一套简单LAN交换机。它拥有五种灵活的动态DNS供应机制,可为特定端口分配DNS解析服务。它还支持Web应用程序过滤、QoS监控以及链接路径多样性。硬件设备(也就是我们测试的对象)、内部或者云环境都采用同样的UTM软件。

菜单选项在而已上非常清晰,这也体现出UTM对Astaro原始设计的延续。报告贯穿整个用户界面始终,界面上端提供各种菜单选项,例如网络保护统计以及接口统计。虽然这种设计在刚上手时显得有些杂乱,但我们对于可视化机制仍然非常赞赏。在线帮助系统的搜索及索引机制也相当易用。

最值得关注的功能之一名为远程以太网设备管理。该功能在对大量分布式UTM设备进行配置时非常实用。大家的中央UTM设备配置可被直接复制到远程UTM端,而且各个分支机构的工作人员完全无需进行任何配合。我们并没有测试过这项功能,但相信它确实能在部署规模化设施时起到良好作用。再有,我们一直没弄明白如何将Mac设备上的浏览器通过SSL接入该设备。

Sophos设备售价为2780美元,其中包含八个有线以太网端口——大部分费用都用于支付各类软件订阅开销。尽管这台设备大力宣传其丰富功能与设置便捷性,但其价格在此次测试的对象中仍然处于高位。

WatchGuard

WatchGuard在基本网络创建工作的设置流程方面非常便捷,但在处理其额外安全措施时,我们花了很多时间与技术支持人员沟通。它能够为特定接口设置独立的管理策略,而且所有策略都拥有相同的通用规则集。这一切使其成为一台极为强大的安全设备。

它提供一套基于云的管理界面,通过Web UI提供反病毒签名、基于IP及域的副本管理等功能。它还利用云实现了几乎无需配合的远程部署流程,从而简化了远程规模化设备的设置工作。大家可以通过几项简单的菜单命令设置日程表,从而关闭特定协议——例如在下班后关闭FTP流量。

我们测试的XTM设备并不内置无线接入点,但WatchGuard额外提供了AP200——由XTM直接管理的独立接入点。AP200的设置流程不像XTM设备本身那么简单,管理员需要访问数个界面才能使其开始运行并集成入受WatchGuard保护的全局网络当中。

WatchGuard公司宣称目前正在努力改进该软件,希望能在全局管理框架方面加入一些新功能。在新功能的支持下,大家将可以利用虚拟LAN建立起受信及访客无线网络。

大家也可以为单一无线接入点设置独立的SSID,并为每个SSID指定不同的管理策略。这样一来,我们就能实现访客受限网络以及更开放但保护力度更强的网络环境。

值得一提的是,WatchGuard还提供一套Windows管理客户端,这意味着我们需要下载两个独立的可执行文件。该软件可被用于远程管理设备集合,例如同样使用同类网络体系的增值分销商。命令菜单结构与功能与标准版本大体相似,但细节处略有不同。从外观来看,Windows版本可以被视为Web界面中的一套可用命令扩展集。

只要习惯了这款Windows软件,它(单指软件本身而非Web界面)完全能够充当策略报告与调试以及配置调整的上佳方案。大家还可以查看所有经由设备的流量,但无法随时掌握哪些人在特定时段对设备进行过管理。

WatchGuard支持动态DNS连接,而且为Mac与Windows客户端提供SSL与IPsec VPN。这台设备售价为1570美元,提供七个有线以太网端口。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章