寫在開篇:本測試由網絡世界(美國)完成并撰寫報告,其中內含個別沒有在中國市場發貨的廠商,相關部分筆者在翻譯時略去了。
如果你運營一個小型企業,你有很多安全解決方案可以選擇。可以買一個300塊錢的路由器,也可以花幾萬塊買一個企業級防火墻,或者在這二者之中做出一些選擇。
這就是統一威脅管理(UTM)的市場。UTM整合5項基礎安全功能:防火墻、IDS/IPS、反病毒/反垃圾郵件、VPN和內容過濾。UTM可以提供一個25人的小型企業的安全保護,并且平均價格只有1萬塊錢。
我們測試了8款產品:Check Point Software's 640, Dell/SonicWall's NSA 250MW, Elitecore Technologies' Cyberoam CR35iNG, Fortinet's FortiGate-100D, Juniper Networks' SRX220H-POE, Kerio Technologies' Control 1100, Sophos/Astaro's UTM 220, and WatchGuard Technolgies' XTM 330.
下面是我們的一些重點發現:
1、除了五項基本UTM功能之外,所有設備供應商都提供了額外功能。舉例來說,戴爾/SonicWall與Check Point就在設備中加入了無線接入點,WatchGuard與Fortinet則在自己的外部Wi-Fi接入設備中添加了管理軟件。
2、某些廠商還在產品中融入了Web應用程序防火墻,旨在阻止特定應用運行于內部網絡中。另一些常見配備功能還有流量或帶寬管理,用于消除網絡環境下的資源占用大戶或者至少在一定程度上限制可能出現的帶寬濫用情況。
3、來自Check Point、Fortinet以及Kerio的產品能夠用于接入兩條不同的上游互聯網連接,例如線纜調制解調器以及DSL鏈路,從而借助連接多樣性節約開支。除了降低成本外,這種機制還能在一條鏈路發生問題時實現故障轉移,或者用于在兩條連接之間實現動態負載平衡。戴爾/SonicWall甚至能夠同時支持四條連接。
4、一些供應商已經開始將各種云服務納入設備當中,用于打理安全處理任務。舉例來說,這些服務能夠以自動化方式完成固件與病毒定義庫下載、日志上傳(用于實現深度分析)以及進行反病毒掃描。
5、某些設備只配備四個千兆以太網端口,另一些則提供更多端口:如果大家還沒有購買網絡交換機,但卻需要使用大量有線連接,則需要在兩套方案中進行選擇——要么購買一臺獨立的網絡交換機,要么購買端口數量更多的大型UTM設備。
6、在某些情況下(例如Check Point或者瞻博的設備),任何端口都會被定義為任何網絡類型:WAN、LAN、DMZ或者特殊的訪客限定網絡等。而在其它供應商這邊(例如Fortinet),大家只能在每個端口中使用特定的網絡類型。Kerio、Sophos以及Check Point等設備擁有一套簡單的“LAN交換機”設定,在它的幫助下我們可以借助一套單獨的扁平網絡拓撲結構向端口接入任何設備——這也正好滿足了大部分客戶的實際需求。這套機制的出現使設備更易于設置也更易于管理。只要提前做好設置,我們將再不必為接入線纜的類型而苦惱。
UTM的定價與采購
選擇正確UTM設備時,最困難的一步在于弄清其整體成本。每家供應商都提供數十款尺寸有異、性能不同的設備型號,另有一大堆令人眼花繚亂的許可選項及功能清單。在本次測試中,我們要求每家供應商只提供一套典型設備方案用于支持一個容納25位員工的辦公室,某些發送設備還需要內置或者配備獨立管理的無線接入點。
每臺設備所配備的功能中,都有一部分需要單獨購買授權或者支持合約,通常周期為每年一次。這意味著匯總各設備的最低使用成本將相當復雜。根據我們的整理,各家供應商的首年設備使用支出相差懸殊,最低的為Check Point的900美元、最高的則是Fortinet的2900美元。
下列匯總表格顯示了各款產品的附加功能、不同端口數量、掃描工具、過濾工具以及各自支持哪種VPN。
下面我們就分別對幾家供應商的設備進行評測:
Check Point
此次我們的贏家為Check Point 640。這款產品易于設置,向導能夠提供簡單的指引選項,且在默認情況下只需點擊幾個按鈕即可讓設備上線并開始運轉。另外,他們的產品成本也最為低廉。
在默認情況下,它的所有端口都可在單一LAN交換機上生效。大家只需進行一次管理政策選擇即可完成無線接口的多SSID設置工作,其友好程度在我們此次測試的對象中脫穎而出。
Check Point最讓我們欣賞的一點在于,其產品設計借助向導機制在易用性及強大的安全功能之間找到了絕佳的平衡點,完全能夠滿足中小型企業用戶的需求。事實上,Check Point厚道無比地將企業級UTM上的軟件分配給了640設備。
與瞻博不同,Check Point并沒有把高級設定掩藏在復雜的命令行界面當中。相反,所有調整選項都可以在Web界面中找到,而且在外觀與菜單的簡潔程度方面與我們所使用過的其它設備中可謂首屈一指。大家可以快速從中查看接入設備的活動計算機、變更用戶訪問不當網站時彈出的URL阻止對話框信息、向反病毒掃描工具中添加協議以及其它常用選項。
如果大家需要一些額外功能,例如為ADSL調制解調器配備故障轉移鏈路或者改變特定安全策略的優先級別,不費多大力氣就能在Web界面中找到對應菜單。
與其它更先進的UTM一樣,大家可以在屏幕上快速捕捉特定接口的數據包,或者創建基于文件的Pcaps。
Check Point的最大缺陷在于存在一項嚴重的固件錯誤,導致其無線頻段無法得到適當控制。不過這一現象只出現在我們所測試的預發布版本當中,最終成品上市時問題已經得到解決。另一項負面因素是:盡管菜單已經比較清晰,但某些環境變更選項只存在于左側菜單當中,這對習慣于從屏幕上方的菜單欄中進行操作的用戶來說不太友好。最后,盡管Check Point承諾設備利用云工具實現固件自動下載、日志上傳以及遠程單位管理等工作,但根據我們的測試體驗、該功能實際并不存在
Check Point的UTM產品還提供對兩項不同動態DNS服務的支持。它支持三種VPN客戶端類型,包括基于Windows的PP2P客戶端。
產品定價極具吸引力:擁有十個有線以太網端口的型號售價為894美元,還包含一年的技術支持以及所有保護功能的使用授權。這已經是我們在此次測試中所遇到的最低價格了,因此選擇Check Point意味著大家能以小額成本擁有優質體驗。
Dell SonicWall
之所以使用SonicWall的設備,是因為該系列產品似乎可以歸屬為中小企業UTM一類。不過在實際測試中,我們發現當前的版本在菜單選項方面極為混亂。盡管如此,SonicWall在初始設置方面仍然非常簡便,值得給一朵小紅花。
在測試中,我們發現其SSL認證設置中存在錯誤,不過在產品正式推出前已經得到修復。我們還發現全局報告功能與其它供應商相比顯得不夠全面
在其它方面,SonicWall更為靈活:大家可以在三項動態DNS服務及兩項Windows客戶端殺毒服務中任意選擇,包括卡巴斯基與McAfee。用戶可以在調制解調器設定選單中進行調整,使其接納多條上游互聯網連接。此外,SonicWall也是少數幾家提供DPI SSL流程檢查的供應商之一。另一項出色的功能是反病毒掃描工具對文件大小沒有限制,這是因為該工具以整臺設備的全局數據包作為著眼點。相比之下,某些競爭對手會在掃描前將電子郵件附件首先加載至內存當中。
SonicWall UTM在設計上希望各個端口能夠彼此獨立,但大家可以通過加入PortShield(即端口屏蔽)組的形式將設備轉化為一臺單獨的網絡交換機。用戶還能夠通過設置讓設備自動將NetBIOS協議推廣至各個子網,從而實現Windows文件及打印機共享功能。
菜單中提供明確的流量統計選項,能夠控制每個端口的數據進出,這對于管理員來說是種不錯的參考機制。大家還可以設置一套快速數據包捕捉方案,借以調度當前配置或者檢測特定流量。
SonicWall具備內置無線接入點,并提供多項便捷功能,包括為其它SSID掃描周邊Wi-Fi網絡以及檢查其它廣播信道帶來的干擾。遺憾的是,我們無法通過設置使其同時使用2.4與5GHz傳輸頻率。要實現這一需求,大家需要單獨購買SonicPoint接入點。大家也可以為訪客接入設置單獨的SSID,但其設置過程比其它競爭對手的方案更為復雜。
SonicWall要價1500美元并提供五個有線以太網端口,在我們此次測試的對象中處于中游位置。
Fortinet
Fortinet的設備功能強勁,但使用流程也相當復雜。我們在測試中甚至需要多次給其技術服務部門打電話獲取幫助。其儀表板中提供一些基本操作選項,經過一段時間的適應、菜單機制也還算可以接受。Fortinet產品提供極為強大的保護策略,大家可以在特定組中指定某個特定用戶,要求其運行特定應用或者基于特定設備運行。
舉例來說,我們可以設定一個純訪客組并為其分配特定權限,或者設定一個iPhone組并允許其隨意瀏覽各類信息。
其URL過濾器同樣表現出色,其中最突出的一項功能就是能像Elitecore那樣利用谷歌、雅虎以及Bing的安全搜索模式移除網絡中的特定內容。
它還提供自動將日志上傳至云端的功能,名為FortiCloud。(用戶可以免費使用1GB的日志存儲空間。)除了五種安全模式之外,它還擁有一套強大的應用程序防火墻以及帶寬管理功能,并可作為管理政策(例如安全模式)的組成部分。
Fortinet同時提供FortiClient端點合規性控制軟件的Mac與Windows版本,作為UTM設備的配套機制。如果大家已經擁有客戶端反病毒軟件,則需要在安裝FortiClient之前將其移除。IPsec VPN運行的也是這款軟件,且能夠支持SSL VPN。它同時支持動態DNS配置。
在鏈接方面,大家可以利用USB 3G監察數據調制解調器作為故障轉移連接。如果大家想要連接Fortinet自己的Wi-Fi接入點,也可以在FortiGate Web控制臺中對各接入點進行管理。
Fortinet的在線幫助機制雖然提供了一些不錯的視頻指南信息,但在搜索引擎與索引機制方面還應該再做出進一步改善。
Fortinet設備為內部網絡環境提供16個有線以太網端口,要價為2898美元,是我們此次測試對象中開價最高的方案。
瞻博(Juniper)
瞻博的UTM可以當作對比研究的絕佳方案:它是一款功能最為完備的設備,安全保護功能完全取自瞻博自家最高端的企業防火墻,不過其安裝與配置流程也最讓人頭痛。由于該設備的Web界面不夠完備,大家可能需要通過命令行實現某些深入操作,這就要求管理員熟悉命令語法。雖然瞻博的設備也提供了一些分布式導航機制,但我們仍然在初始路由設置方面遇上了很多難題。
在競爭對手方面,如果大家需要對標準的80/443 Web管理端口做出變更(可能互聯網供應商阻斷了這部分流量),則可以輕松在界面中找到對應菜單選項并進行調整。但瞻博的SRX要求管理員在命令行中實現此類操作。不過無論選擇哪個端口,我們都無法通過Web對設備進行遠程管理。這看起來是一項安全功能,但實際效果卻使SRX設備很難被中小企業用戶所接納。
SRX支持動態DNS,但還是老問題——需要在命令中進行設置。如果大家想要創建一套阻斷應用中特定流量的規則,命令行將再度出現——在測試流程中,我們添加了一項規則來阻止YouTube視頻流。最難打理的一項任務在于一套特殊阻斷頁面,但這種機制在其它UTM設備中屬于默認選項。瞻博此番可有點冒天下大不韙的意思。如果大家希望添加對QoS、帶寬調整、鏈路檢測及故障轉移功能的支持,請在命令行中尋找答案。
除了在命令行中埋頭苦干,即使是最簡單的任務也需要管理員在Web菜單中來回點擊和瀏覽方可完成。如果對界面布局不夠熟悉,這種工作量設計很可能直接把人逼瘋(瞻博承諾在未來的版本中簡化Web界面使用體驗)。更糟糕的是,瞻博還提供兩套不同菜單排布外加不同命令布局——一套用于配置、另一套用于監控。
我們對SRX管理下的單獨瞻博無線接入點進行了測試。實踐證明,瞻博提供了多種不同的菜單訪問流程以完成無線網絡的配置及運行,其使用體驗遠比Check Point或者SonicWall的方案要復雜。另外,我們在一臺設備上只能管理最多四個接入點,而且第三及第四個接入點還會產生額外的授權費用。好消息是所有接入點都能夠同時實現2.4及5GHz頻段,且支持多套SSID。
SRX還存在其它一些缺點。首先,它只支持IPsec VPN并搭配Pulse客戶端軟件——既沒有集成Active Directory,也不像FortiClient那樣集成基于客戶端的終端保護措施。與SonicWall相比,SRX目前尚無法通過SSL進行深度數據包檢測,不過瞻博正在努力加入這些功能。
另一項好消息是,大家可以將任何變更回滾至之前版本。盡管有瞻博公司的工程師在身邊坐陣,我們仍然會不時使用這項功能以免自己陷入大麻煩。大家在使用中可能也需要每完成一個步驟就提交一次配置變化,至少各位將此視為貼心的功能還是惱人的設定就見仁見智了。
另外,大家擁有大量反病毒與URL過濾方案可供選擇,在這方面瞻博提供的備選方案確實在此次測試的眾多對象中獨樹一幟。在反病毒方面,如果大家選擇了卡巴斯基,也就必須下載其配套掃描工具并對設備進行一次全局掃描;相比之下,Sophos將一切工作放在云端完成,也就不會占用設備中的CPU或其它任何資源。
瞻博的UTM產品售價為2699美元,其中包含八個有線以太網端口。這樣的價碼使其在本輪測試對象的使用成本方面位居前列。這些端口在默認情況下屬于大型交換LAN體系中的組成部分,但也可分配給其它網絡使用。
Sophos/Astaro
Sophos買下了Astaro UTM產品線,并為其提供一套頗具吸引力的菜單布局與簡便的設置流程,例如將不同端口創建為一套簡單LAN交換機。它擁有五種靈活的動態DNS供應機制,可為特定端口分配DNS解析服務。它還支持Web應用程序過濾、QoS監控以及鏈接路徑多樣性。硬件設備(也就是我們測試的對象)、內部或者云環境都采用同樣的UTM軟件。
菜單選項在而已上非常清晰,這也體現出UTM對Astaro原始設計的延續。報告貫穿整個用戶界面始終,界面上端提供各種菜單選項,例如網絡保護統計以及接口統計。雖然這種設計在剛上手時顯得有些雜亂,但我們對于可視化機制仍然非常贊賞。在線幫助系統的搜索及索引機制也相當易用。
最值得關注的功能之一名為遠程以太網設備管理。該功能在對大量分布式UTM設備進行配置時非常實用。大家的中央UTM設備配置可被直接復制到遠程UTM端,而且各個分支機構的工作人員完全無需進行任何配合。我們并沒有測試過這項功能,但相信它確實能在部署規模化設施時起到良好作用。再有,我們一直沒弄明白如何將Mac設備上的瀏覽器通過SSL接入該設備。
Sophos設備售價為2780美元,其中包含八個有線以太網端口——大部分費用都用于支付各類軟件訂閱開銷。盡管這臺設備大力宣傳其豐富功能與設置便捷性,但其價格在此次測試的對象中仍然處于高位。
WatchGuard
WatchGuard在基本網絡創建工作的設置流程方面非常便捷,但在處理其額外安全措施時,我們花了很多時間與技術支持人員溝通。它能夠為特定接口設置獨立的管理策略,而且所有策略都擁有相同的通用規則集。這一切使其成為一臺極為強大的安全設備。
它提供一套基于云的管理界面,通過Web UI提供反病毒簽名、基于IP及域的副本管理等功能。它還利用云實現了幾乎無需配合的遠程部署流程,從而簡化了遠程規模化設備的設置工作。大家可以通過幾項簡單的菜單命令設置日程表,從而關閉特定協議——例如在下班后關閉FTP流量。
我們測試的XTM設備并不內置無線接入點,但WatchGuard額外提供了AP200——由XTM直接管理的獨立接入點。AP200的設置流程不像XTM設備本身那么簡單,管理員需要訪問數個界面才能使其開始運行并集成入受WatchGuard保護的全局網絡當中。
WatchGuard公司宣稱目前正在努力改進該軟件,希望能在全局管理框架方面加入一些新功能。在新功能的支持下,大家將可以利用虛擬LAN建立起受信及訪客無線網絡。
大家也可以為單一無線接入點設置獨立的SSID,并為每個SSID指定不同的管理策略。這樣一來,我們就能實現訪客受限網絡以及更開放但保護力度更強的網絡環境。
值得一提的是,WatchGuard還提供一套Windows管理客戶端,這意味著我們需要下載兩個獨立的可執行文件。該軟件可被用于遠程管理設備集合,例如同樣使用同類網絡體系的增值分銷商。命令菜單結構與功能與標準版本大體相似,但細節處略有不同。從外觀來看,Windows版本可以被視為Web界面中的一套可用命令擴展集。
只要習慣了這款Windows軟件,它(單指軟件本身而非Web界面)完全能夠充當策略報告與調試以及配置調整的上佳方案。大家還可以查看所有經由設備的流量,但無法隨時掌握哪些人在特定時段對設備進行過管理。
WatchGuard支持動態DNS連接,而且為Mac與Windows客戶端提供SSL與IPsec VPN。這臺設備售價為1570美元,提供七個有線以太網端口。
中小企業UTM測試方案
在圣路易斯實驗環境中,我們分別將UTM設備安裝在兩個位置:首先是我們的測試實驗室,其后是Mercury Labs辦公室——這是一家小型互動廣告代理公司。兩套環境中都配備有多臺Windows與Mac臺式機,并通過線纜調制解調器接入互聯網。廣告代理公司方面沒有使用任何安全設備,網絡連接完全由蘋果的AirPort Express提供。
設備連接建立之后,我們為每臺設備更新了固件及軟件許可模塊,而后為各UTM設置了WAN與LAN接口——這是為了通過DHCP地址免除IP子網管理帶來的諸多麻煩。
我們測試了設備如何為訪客員工創建約束性管理策略,并觀察其如何自動阻斷外來威脅。出于實驗目的,我們為特定用戶分配了特殊策略,另一些用戶則執行常見任務。由于具備線纜調制解調器連接,我們嘗試建立了一套VPN并利用動態DNS服務將流程引導至UTM設備。我們假設這些設備在缺乏集中Active Directory或RADIUS服務器的前提下部署在網絡環境內,而后添加用戶賬戶并手動設置安全組。
我們根據以下三條標準評估設備表現,即:安裝、功能與整體價值。
在安裝考核過程中,我們評測了各種網絡界面、用戶及授權許可的設置方案。所有設備都工作于小規模網絡環境下,旨在模擬中小企業欠缺IT知識、管理員時間緊張的狀況。最后的成績取決于設備設置及配置工作的總體耗時。
在功能檢查方面,我們考察了設備的遠程管理及監控、新安全策略設置以及報告能力。我們還考量了每臺設備集成五種基本安全模塊的效果以及需要怎樣的工作流程實現其保護功能。
最后,我們以第一年的采購價格外加軟件許可及技術支持成本來評估設備的整體價值。
京公網安備 11010502049343號