写在开篇:本测试由网络世界(美国)完成并撰写报告,其中内含个别没有在中国市场发货的厂商,相关部分笔者在翻译时略去了。
如果你运营一个小型企业,你有很多安全解决方案可以选择。可以买一个300块钱的路由器,也可以花几万块买一个企业级防火墙,或者在这二者之中做出一些选择。
这就是统一威胁管理(UTM)的市场。UTM整合5项基础安全功能:防火墙、IDS/IPS、反病毒/反垃圾邮件、VPN和内容过滤。UTM可以提供一个25人的小型企业的安全保护,并且平均价格只有1万块钱。
我们测试了8款产品:Check Point Software's 640, Dell/SonicWall's NSA 250MW, Elitecore Technologies' Cyberoam CR35iNG, Fortinet's FortiGate-100D, Juniper Networks' SRX220H-POE, Kerio Technologies' Control 1100, Sophos/Astaro's UTM 220, and WatchGuard Technolgies' XTM 330.
下面是我们的一些重点发现:
1、除了五项基本UTM功能之外,所有设备供应商都提供了额外功能。举例来说,戴尔/SonicWall与Check Point就在设备中加入了无线接入点,WatchGuard与Fortinet则在自己的外部Wi-Fi接入设备中添加了管理软件。
2、某些厂商还在产品中融入了Web应用程序防火墙,旨在阻止特定应用运行于内部网络中。另一些常见配备功能还有流量或带宽管理,用于消除网络环境下的资源占用大户或者至少在一定程度上限制可能出现的带宽滥用情况。
3、来自Check Point、Fortinet以及Kerio的产品能够用于接入两条不同的上游互联网连接,例如线缆调制解调器以及DSL链路,从而借助连接多样性节约开支。除了降低成本外,这种机制还能在一条链路发生问题时实现故障转移,或者用于在两条连接之间实现动态负载平衡。戴尔/SonicWall甚至能够同时支持四条连接。
4、一些供应商已经开始将各种云服务纳入设备当中,用于打理安全处理任务。举例来说,这些服务能够以自动化方式完成固件与病毒定义库下载、日志上传(用于实现深度分析)以及进行反病毒扫描。
5、某些设备只配备四个千兆以太网端口,另一些则提供更多端口:如果大家还没有购买网络交换机,但却需要使用大量有线连接,则需要在两套方案中进行选择——要么购买一台独立的网络交换机,要么购买端口数量更多的大型UTM设备。
6、在某些情况下(例如Check Point或者瞻博的设备),任何端口都会被定义为任何网络类型:WAN、LAN、DMZ或者特殊的访客限定网络等。而在其它供应商这边(例如Fortinet),大家只能在每个端口中使用特定的网络类型。Kerio、Sophos以及Check Point等设备拥有一套简单的“LAN交换机”设定,在它的帮助下我们可以借助一套单独的扁平网络拓扑结构向端口接入任何设备——这也正好满足了大部分客户的实际需求。这套机制的出现使设备更易于设置也更易于管理。只要提前做好设置,我们将再不必为接入线缆的类型而苦恼。
UTM的定价与采购
选择正确UTM设备时,最困难的一步在于弄清其整体成本。每家供应商都提供数十款尺寸有异、性能不同的设备型号,另有一大堆令人眼花缭乱的许可选项及功能清单。在本次测试中,我们要求每家供应商只提供一套典型设备方案用于支持一个容纳25位员工的办公室,某些发送设备还需要内置或者配备独立管理的无线接入点。
每台设备所配备的功能中,都有一部分需要单独购买授权或者支持合约,通常周期为每年一次。这意味着汇总各设备的最低使用成本将相当复杂。根据我们的整理,各家供应商的首年设备使用支出相差悬殊,最低的为Check Point的900美元、最高的则是Fortinet的2900美元。
下列汇总表格显示了各款产品的附加功能、不同端口数量、扫描工具、过滤工具以及各自支持哪种VPN。
下面我们就分别对几家供应商的设备进行评测:
Check Point
此次我们的赢家为Check Point 640。这款产品易于设置,向导能够提供简单的指引选项,且在默认情况下只需点击几个按钮即可让设备上线并开始运转。另外,他们的产品成本也最为低廉。
在默认情况下,它的所有端口都可在单一LAN交换机上生效。大家只需进行一次管理政策选择即可完成无线接口的多SSID设置工作,其友好程度在我们此次测试的对象中脱颖而出。
Check Point最让我们欣赏的一点在于,其产品设计借助向导机制在易用性及强大的安全功能之间找到了较好的平衡点,完全能够满足中小型企业用户的需求。事实上,Check Point厚道无比地将企业级UTM上的软件分配给了640设备。
与瞻博不同,Check Point并没有把高级设定掩藏在复杂的命令行界面当中。相反,所有调整选项都可以在Web界面中找到,而且在外观与菜单的简洁程度方面与我们所使用过的其它设备中可谓首屈一指。大家可以快速从中查看接入设备的活动计算机、变更用户访问不当网站时弹出的URL阻止对话框信息、向反病毒扫描工具中添加协议以及其它常用选项。
如果大家需要一些额外功能,例如为ADSL调制解调器配备故障转移链路或者改变特定安全策略的优先级别,不费多大力气就能在Web界面中找到对应菜单。
与其它更先进的UTM一样,大家可以在屏幕上快速捕捉特定接口的数据包,或者创建基于文件的Pcaps。
Check Point的最大缺陷在于存在一项严重的固件错误,导致其无线频段无法得到适当控制。不过这一现象只出现在我们所测试的预发布版本当中,最终成品上市时问题已经得到解决。另一项负面因素是:尽管菜单已经比较清晰,但某些环境变更选项只存在于左侧菜单当中,这对习惯于从屏幕上方的菜单栏中进行操作的用户来说不太友好。最后,尽管Check Point承诺设备利用云工具实现固件自动下载、日志上传以及远程单位管理等工作,但根据我们的测试体验、该功能实际并不存在。
Check Point的UTM产品还提供对两项不同动态DNS服务的支持。它支持三种VPN客户端类型,包括基于Windows的PP2P客户端。
产品定价极具吸引力:拥有十个有线以太网端口的型号售价为894美元,还包含一年的技术支持以及所有保护功能的使用授权。这已经是我们在此次测试中所遇到的最低价格了,因此选择Check Point意味着大家能以小额成本拥有优质体验。
Dell SonicWall
之所以使用SonicWall的设备,是因为该系列产品似乎可以归属为中小企业UTM一类。不过在实际测试中,我们发现当前的版本在菜单选项方面极为混乱。尽管如此,SonicWall在初始设置方面仍然非常简便,值得给一朵小红花。
在测试中,我们发现其SSL认证设置中存在错误,不过在产品正式推出前已经得到修复。我们还发现全局报告功能与其它供应商相比显得不够全面。
在其它方面,SonicWall更为灵活:大家可以在三项动态DNS服务及两项Windows客户端杀毒服务中任意选择,包括卡巴斯基与McAfee。用户可以在调制解调器设定选单中进行调整,使其接纳多条上游互联网连接。此外,SonicWall也是少数几家提供DPI SSL流程检查的供应商之一。另一项出色的功能是反病毒扫描工具对文件大小没有限制,这是因为该工具以整台设备的全局数据包作为着眼点。相比之下,某些竞争对手会在扫描前将电子邮件附件首先加载至内存当中。
SonicWall UTM在设计上希望各个端口能够彼此独立,但大家可以通过加入PortShield(即端口屏蔽)组的形式将设备转化为一台单独的网络交换机。用户还能够通过设置让设备自动将NetBIOS协议推广至各个子网,从而实现Windows文件及打印机共享功能。
菜单中提供明确的流量统计选项,能够控制每个端口的数据进出,这对于管理员来说是种不错的参考机制。大家还可以设置一套快速数据包捕捉方案,借以调度当前配置或者检测特定流量。
SonicWall具备内置无线接入点,并提供多项便捷功能,包括为其它SSID扫描周边Wi-Fi网络以及检查其它广播信道带来的干扰。遗憾的是,我们无法通过设置使其同时使用2.4与5GHz传输频率。要实现这一需求,大家需要单独购买SonicPoint接入点。大家也可以为访客接入设置单独的SSID,但其设置过程比其它竞争对手的方案更为复杂。
SonicWall要价1500美元并提供五个有线以太网端口,在我们此次测试的对象中处于中游位置。
Fortinet
Fortinet的设备功能强劲,但使用流程也相当复杂。我们在测试中甚至需要多次给其技术服务部门打电话获取帮助。其仪表板中提供一些基本操作选项,经过一段时间的适应、菜单机制也还算可以接受。Fortinet产品提供极为强大的保护策略,大家可以在特定组中指定某个特定用户,要求其运行特定应用或者基于特定设备运行。
举例来说,我们可以设定一个纯访客组并为其分配特定权限,或者设定一个iPhone组并允许其随意浏览各类信息。
其URL过滤器同样表现出色,其中最突出的一项功能就是能像Elitecore那样利用谷歌、雅虎以及Bing的安全搜索模式移除网络中的特定内容。
它还提供自动将日志上传至云端的功能,名为FortiCloud。(用户可以免费使用1GB的日志存储空间。)除了五种安全模式之外,它还拥有一套强大的应用程序防火墙以及带宽管理功能,并可作为管理政策(例如安全模式)的组成部分。
Fortinet同时提供FortiClient端点合规性控制软件的Mac与Windows版本,作为UTM设备的配套机制。如果大家已经拥有客户端反病毒软件,则需要在安装FortiClient之前将其移除。IPsec VPN运行的也是这款软件,且能够支持SSL VPN。它同时支持动态DNS配置。
在链接方面,大家可以利用USB 3G监察数据调制解调器作为故障转移连接。如果大家想要连接Fortinet自己的Wi-Fi接入点,也可以在FortiGate Web控制台中对各接入点进行管理。
Fortinet的在线帮助机制虽然提供了一些不错的视频指南信息,但在搜索引擎与索引机制方面还应该再做出进一步改善。
Fortinet设备为内部网络环境提供16个有线以太网端口,要价为2898美元,是我们此次测试对象中开价最高的方案。
瞻博(Juniper)
瞻博的UTM可以当作对比研究的较好方案:它是一款功能最为完备的设备,安全保护功能完全取自瞻博自家最高端的企业防火墙,不过其安装与配置流程也最让人头痛。由于该设备的Web界面不够完备,大家可能需要通过命令行实现某些深入操作,这就要求管理员熟悉命令语法。虽然瞻博的设备也提供了一些分布式导航机制,但我们仍然在初始路由设置方面遇上了很多难题。
在竞争对手方面,如果大家需要对标准的80/443 Web管理端口做出变更(可能互联网供应商阻断了这部分流量),则可以轻松在界面中找到对应菜单选项并进行调整。但瞻博的SRX要求管理员在命令行中实现此类操作。不过无论选择哪个端口,我们都无法通过Web对设备进行远程管理。这看起来是一项安全功能,但实际效果却使SRX设备很难被中小企业用户所接纳。
SRX支持动态DNS,但还是老问题——需要在命令中进行设置。如果大家想要创建一套阻断应用中特定流量的规则,命令行将再度出现——在测试流程中,我们添加了一项规则来阻止YouTube视频流。最难打理的一项任务在于一套特殊阻断页面,但这种机制在其它UTM设备中属于默认选项。瞻博此番可有点冒天下大不韪的意思。如果大家希望添加对QoS、带宽调整、链路检测及故障转移功能的支持,请在命令行中寻找答案。
除了在命令行中埋头苦干,即使是最简单的任务也需要管理员在Web菜单中来回点击和浏览方可完成。如果对界面布局不够熟悉,这种工作量设计很可能直接把人逼疯(瞻博承诺在未来的版本中简化Web界面使用体验)。更糟糕的是,瞻博还提供两套不同菜单排布外加不同命令布局——一套用于配置、另一套用于监控。
我们对SRX管理下的单独瞻博无线接入点进行了测试。实践证明,瞻博提供了多种不同的菜单访问流程以完成无线网络的配置及运行,其使用体验远比Check Point或者SonicWall的方案要复杂。另外,我们在一台设备上只能管理最多四个接入点,而且第三及第四个接入点还会产生额外的授权费用。好消息是所有接入点都能够同时实现2.4及5GHz频段,且支持多套SSID。
SRX还存在其它一些缺点。首先,它只支持IPsec VPN并搭配Pulse客户端软件——既没有集成Active Directory,也不像FortiClient那样集成基于客户端的终端保护措施。与SonicWall相比,SRX目前尚无法通过SSL进行深度数据包检测,不过瞻博正在努力加入这些功能。
另一项好消息是,大家可以将任何变更回滚至之前版本。尽管有瞻博公司的工程师在身边坐阵,我们仍然会不时使用这项功能以免自己陷入大麻烦。大家在使用中可能也需要每完成一个步骤就提交一次配置变化,至少各位将此视为贴心的功能还是恼人的设定就见仁见智了。
另外,大家拥有大量反病毒与URL过滤方案可供选择,在这方面瞻博提供的备选方案确实在此次测试的众多对象中独树一帜。在反病毒方面,如果大家选择了卡巴斯基,也就必须下载其配套扫描工具并对设备进行一次全局扫描;相比之下,Sophos将一切工作放在云端完成,也就不会占用设备中的CPU或其它任何资源。
瞻博的UTM产品售价为2699美元,其中包含八个有线以太网端口。这样的价码使其在本轮测试对象的使用成本方面位居前列。这些端口在默认情况下属于大型交换LAN体系中的组成部分,但也可分配给其它网络使用。
Sophos/Astaro
Sophos买下了Astaro UTM产品线,并为其提供一套颇具吸引力的菜单布局与简便的设置流程,例如将不同端口创建为一套简单LAN交换机。它拥有五种灵活的动态DNS供应机制,可为特定端口分配DNS解析服务。它还支持Web应用程序过滤、QoS监控以及链接路径多样性。硬件设备(也就是我们测试的对象)、内部或者云环境都采用同样的UTM软件。
菜单选项在而已上非常清晰,这也体现出UTM对Astaro原始设计的延续。报告贯穿整个用户界面始终,界面上端提供各种菜单选项,例如网络保护统计以及接口统计。虽然这种设计在刚上手时显得有些杂乱,但我们对于可视化机制仍然非常赞赏。在线帮助系统的搜索及索引机制也相当易用。
最值得关注的功能之一名为远程以太网设备管理。该功能在对大量分布式UTM设备进行配置时非常实用。大家的中央UTM设备配置可被直接复制到远程UTM端,而且各个分支机构的工作人员完全无需进行任何配合。我们并没有测试过这项功能,但相信它确实能在部署规模化设施时起到良好作用。再有,我们一直没弄明白如何将Mac设备上的浏览器通过SSL接入该设备。
Sophos设备售价为2780美元,其中包含八个有线以太网端口——大部分费用都用于支付各类软件订阅开销。尽管这台设备大力宣传其丰富功能与设置便捷性,但其价格在此次测试的对象中仍然处于高位。
WatchGuard
WatchGuard在基本网络创建工作的设置流程方面非常便捷,但在处理其额外安全措施时,我们花了很多时间与技术支持人员沟通。它能够为特定接口设置独立的管理策略,而且所有策略都拥有相同的通用规则集。这一切使其成为一台极为强大的安全设备。
它提供一套基于云的管理界面,通过Web UI提供反病毒签名、基于IP及域的副本管理等功能。它还利用云实现了几乎无需配合的远程部署流程,从而简化了远程规模化设备的设置工作。大家可以通过几项简单的菜单命令设置日程表,从而关闭特定协议——例如在下班后关闭FTP流量。
我们测试的XTM设备并不内置无线接入点,但WatchGuard额外提供了AP200——由XTM直接管理的独立接入点。AP200的设置流程不像XTM设备本身那么简单,管理员需要访问数个界面才能使其开始运行并集成入受WatchGuard保护的全局网络当中。
WatchGuard公司宣称目前正在努力改进该软件,希望能在全局管理框架方面加入一些新功能。在新功能的支持下,大家将可以利用虚拟LAN建立起受信及访客无线网络。
大家也可以为单一无线接入点设置独立的SSID,并为每个SSID指定不同的管理策略。这样一来,我们就能实现访客受限网络以及更开放但保护力度更强的网络环境。
值得一提的是,WatchGuard还提供一套Windows管理客户端,这意味着我们需要下载两个独立的可执行文件。该软件可被用于远程管理设备集合,例如同样使用同类网络体系的增值分销商。命令菜单结构与功能与标准版本大体相似,但细节处略有不同。从外观来看,Windows版本可以被视为Web界面中的一套可用命令扩展集。
只要习惯了这款Windows软件,它(单指软件本身而非Web界面)完全能够充当策略报告与调试以及配置调整的上佳方案。大家还可以查看所有经由设备的流量,但无法随时掌握哪些人在特定时段对设备进行过管理。
WatchGuard支持动态DNS连接,而且为Mac与Windows客户端提供SSL与IPsec VPN。这台设备售价为1570美元,提供七个有线以太网端口。
中小企业UTM测试方案
在圣路易斯实验环境中,我们分别将UTM设备安装在两个位置:首先是我们的测试实验室,其后是Mercury Labs办公室——这是一家小型互动广告代理公司。两套环境中都配备有多台Windows与Mac台式机,并通过线缆调制解调器接入互联网。广告代理公司方面没有使用任何安全设备,网络连接完全由苹果的AirPort Express提供。
设备连接建立之后,我们为每台设备更新了固件及软件许可模块,而后为各UTM设置了WAN与LAN接口——这是为了通过DHCP地址免除IP子网管理带来的诸多麻烦。
我们测试了设备如何为访客员工创建约束性管理策略,并观察其如何自动阻断外来威胁。出于实验目的,我们为特定用户分配了特殊策略,另一些用户则执行常见任务。由于具备线缆调制解调器连接,我们尝试建立了一套VPN并利用动态DNS服务将流程引导至UTM设备。我们假设这些设备在缺乏集中Active Directory或RADIUS服务器的前提下部署在网络环境内,而后添加用户账户并手动设置安全组。
我们根据以下三条标准评估设备表现,即:安装、功能与整体价值。
在安装考核过程中,我们评测了各种网络界面、用户及授权许可的设置方案。所有设备都工作于小规模网络环境下,旨在模拟中小企业欠缺IT知识、管理员时间紧张的状况。最后的成绩取决于设备设置及配置工作的总体耗时。
在功能检查方面,我们考察了设备的远程管理及监控、新安全策略设置以及报告能力。我们还考量了每台设备集成五种基本安全模块的效果以及需要怎样的工作流程实现其保护功能。
最后,我们以第一年的采购价格外加软件许可及技术支持成本来评估设备的整体价值。