Check Point是URL过滤的最佳方法

URL过滤已经成为大多数统一威胁管理防火墙的一个“复选框”功能，这并不奇怪:它不需要太多的想象力来做好它，而且很难真正让自己与众不同或做得不好。

三家供应商进行了测试SonicWall， Fortinet和Barracuda——有几乎相同的接口来定义URL过滤策略。有一些微小的区别——例如，Fortinet有一个可爱的功能，可以限制你花在一个类别上的时间(“你可以看体育页面，但只有5分钟”)，但通常没有什么区别。

下一代防火墙:一个良好的开端

Barracuda NG防火墙有一个主要的缺陷，需要在5.4版本中修复，这要求我们为HTTP和HTTPS代理建立独立的策略，增加了维护策略的时间，增加了人为错误的机会。

Check Point采用了一种非常不同的方法，它将URL过滤与应用程序标识和控制集成到单个策略中。Check Point将这两种工具结合起来，是构建下一代防火墙的更好方式。URL过滤和应用程序控件在许多方面是紧密相关和重叠的。

例如，阻断对外部web邮件服务器的访问，既可以通过应用识别查找私有web邮件服务器，也可以通过URL过滤查找公共web邮件服务器。结合使用这两种技术比只使用一种要好。

我们的反恶意软件测试确实突出了产品之间的差异，以及它们在大类别流量中扫描病毒的方法。这档节目的两位明星是拥有最好的反病毒引擎的Fortinet和覆盖不同类型流量的SonicWall。

这两个检查安全网关和梭鱼NG防火墙在发现许多不同病毒的任务上做得很差应用程序不过，Check Point Security Gateway确实包含了一个新的反机器人检测系统。

在测试开始之前，我们使用了一些最近在野外发现的病毒进行了测试。每个产品都有足够的时间——超过两周——更新它们的特征以感染我们使用的病毒。FortiGate把我们扔给它的病毒全部捕获了。接下来是SonicOS，当我们通过HTTP和HTTPS协议发送病毒时，它捕获了100%的病毒，但当我们使用FTP、IMAP和SMTP时，捕获的病毒略少。在我们的小样本中，Check Point Security Gateway和Barracuda NG Firewall感染的病毒较少(分别为80%和90%)。

更重要的结果是覆盖了各种协议，这也是SonicWall的亮点所在。不管我们把病毒藏在哪里，只有声波墙能找到它们。在配置SonicWall来捕获恶意软件时，您不会列出特定的端口，而是在这些端口上运行的应用程序:HTTP, FTP, IMAP, SMTP, POP3, CIFS (微软文件共享)，以及“其他一切”。当我们使用普通协议通过防火墙发送病毒时，反恶意软件引擎会检测流量。它并没有在每一种情况下捕捉到每一种病毒，但也没有完全没有进行检查的漏洞。

FortiGate反恶意软件引擎工作得很好，但只会检查我们明确列出的端口上的流量。这意味着一个网服务器在一个普通的港口，比如80号或443号港口，检查就可以了。然而，如果有人在互联网上的一个非标准端口上有一个带有恶意软件的web服务器，比如81，那么FortiGate不会捕获它。您的替代方案是阻止非标准端口——一个肯定会让用户不高兴的方法和一个糟糕的解决方案——或者在您的安全覆盖中有一个漏洞。

当我们对Check Point Security Gateway进行测试时，它正经历着反恶意软件领域的快速变化，所以我们的结果可能不能代表软件R75.40版本最终发布时的最终状态。Check Point告诉我们，它正在与反恶意软件引擎供应商合作，以实现更高的捕获率，但我们的一些测试场景，如IMAP和基于TLS的SMTP，甚至在最终版本中都不支持。

Check Point提供的反恶意软件功能之一是我们在其他产品中没有看到的反机器人保护。如果反恶意软件的作用是防止感染，Check Point的反机器人保护是为了捕捉感染后的行为，如命令控制渠道和试图传播感染或发送垃圾邮件。我们没有测试反机器人保护，因为没有其他供应商提供这个功能。

我们在测试梭鱼NG防火墙的反恶意软件功能时遇到了更大的困难，因为NG防火墙使用代理来处理病毒扫描。Barracuda告诉我们，我们在这部分测试中看到的许多问题将在他们即将发布的v5.4中得到解决。

对于HTTP流量，只要是在标准端口上，NG防火墙就会透明地拦截流量(在非标准端口上通过HTTP发送病毒不会激活代理)。对于HTTPS流量，NG防火墙必须手动配置为安全代理——这与我们测试的其他产品不同——所以我们必须改变我们的测试方法，让防火墙扫描HTTPS流量。

我们在尝试让Barracuda NG防火墙扫描邮件流量时遇到了不同的问题。这只在防火墙用作邮件网关时有效。当我们在没有使用邮件网关的情况下通过NG防火墙发送邮件时，就失去了扫描恶意软件的能力。

当谈到选择最好的反恶意软件时，我们发现了所有产品的优缺点。当然，SonicWall和Fortinet在我们的过滤中取得了最好的结果，但我们认为Check Point Security Gateway的反机器人功能和统一的URL过滤和应用程序控制功能给了它一点优势，即使它没有最好的反恶意软件引擎。在测试Barracuda NG防火墙时出现的问题可能会在下一个版本的产品中得到解决，但目前它们导致我们的产品排名低于竞争对手。