基本防火墙功能：检查点的成熟度通过

企业防火墙必须具备流量控制策略，能够使用标准的IPsec创建站点到站点的vpn，能够在需要时进行地址和端口转换，能够对流量进行基本的带宽管理。它们还必须支持高可用性(主动/被动或主动/主动)、虚拟局域网、以太网链路聚合和全局管理系统等特性。

我们发现下一代防火墙供应商只是在其现有防火墙顶部分层应用程序感知功能。这是一件好事，因为它使防火墙更有可能遭受任何新产品所可能拥有的错误，而且因为它们从大门中开始，具有很好的，测试的功能集。我们测试的产品，从检查点，Fortinet，Sonicwall和Barracuda网络，没有不同的名称甚至不同的许可。您没有订购下一代防火墙的SonicWALL;您只需订购SonicWALL防火墙，它具有下一代功能。同样适用于检查点，Fortinet和Barracuda网络。

下一步防火墙：关闭良好的开端

大多数读者都将熟悉检查点安全Gateway，Fortinet Fortigate和SonicWall Sonicos产品已经。Barracuda NG防火墙在北美没有相同的市场渗透 - 通过Barracuda于2009年收购了奥地利防火墙制造商群体 - 因此该产品不会熟悉有个足球雷竞技app读者。

Barracuda的NG防火墙确实有一个有状态数据包过滤器，但NG防火墙的体系结构更像是堡垒主机应用层防火墙（思考数字设备公司的密封或可信信息系统的防火墙工具包），具有HTTP，SSH和FTP的嵌入式代理，一个用于处理SMTP流量的内部邮件网关，以及将通过防火墙传递的任何流量重定向到防火墙本身运行的应用程序的选项。

Barracuda NG防火墙是一种彻底的现代产品，具有流量整形和UTM保护，集成IPSec和SSL VPN等功能，甚至是网络访问控制 - 但是NG防火墙看起来与防火墙空间中的其他流行产品看起来不大。

这意味着，如果您计划评估Barracuda NG防火墙，请在计划中添加一些空间，以便习惯配置系统，并计划在手机上花一些时间与技术支持，就像我们所做的那样，了解所有件合身一起。

我们发现，所有这四种产品都符合企业防火墙的基本标准，这意味着您可以将它们用作组织的防火墙，而不涉及下一代特性。我们确实发现了一些差异，但更多的是在边缘特性而不是防火墙的核心功能上。我们的测试标准集中在企业特性上，我们发现在高可用性和带宽管理领域中最不成熟的防火墙产品是Barracuda NG防火墙。

例如，Barracuda NG防火墙的主要高可用性能力基于主动/被动设备对，无需完全共享会话状态。检查点安全网关，FortiGate和Sonicos Systems都支持具有两个以上设备的主动/活动集群，在保护高可用的企业网络时更具吸引力的选择。

在产品之间设置了如此密切的功能，我们看看更多的尖端功能，如动态路由，全球管理和IPv6.支持。我们的动态路由测试中的领导者专注于BGP集成，是检查点的安全网关和Fortinet的FortiGate，两者都与我们同步思科基于边界网关协议路由器。

在检查点的情况下，动态路由实际上是底层操作系统的函数，而不是防火墙。我们在检查点硬件上测试了安全网关，使用其新的“Gaia”操作系统，将技术集成到Check Point的自己的安全平台（Linux.基于几年前收购诺基亚的防火墙家电业务，基于诺基亚的IPSO（基于BSD的）操作系统。

检查点的安全网关略微编辑Fortinet的FortiGate，因为基于Gaia的动态路由更容易通过相当完整的GUI配置。安全网关还提供命令行界面（CLI）配置，以获取更多复杂设置，以及多播路由（DVMRP）等附加协议。Fortinet的FortiGate要求我们使用CLI，我们测试期间唯一的时间我们必须潜入命令行界面。

SonicWALL失败了我们的BGP测试，因为我们无法与我们的系统完全同步Sonicos动态路由。总的来说，SonicWALL对超越OSPF和RIP协议的任何东西都是最重要的。例如，我们有问题的原因之一使BGP正常工作是SonicWALL在动态路由系统上不提供文档。如果要在动态路由环境中使用SonicWALL，请先打开最短路径，更好地记录和支持。在Barracuda NG防火墙的情况下，BGP根本不支持。

我们对全球管理的评估将Check Point安全网关放在顶部宽边缘。检查点始终需要集中管理系统的企业防火墙，而他们的经验显示，与更严重和更少的产品相比，他们的经验显示。作为我们测试的一部分，沿着他们的“不相当一个SEIM”产品，SmartEvent发送的检查点，我们建议您对任何“下一代”聚焦部署建议。SmartEvent是在查看点防火墙中分析日志的关键组件;没有它，你已经有了日志，但无法理解交通流量和模式。

SonicWALL的全球管理系统是同步防火墙配置，维护对象的一致性以及收集流量信息的巨大帮助。任何有多少数SonicWALL防火墙的人都应该强烈考虑将全球管理系统添加到他们的部署和管理工具包中。由于SonicWALL内部日志系统的容量非常有限，因此通过全局管理系统等工具的外部日志分析对于任何调试或报告至关重要。

Barracuda和Fortinet都没有发送他们的全球管理系统。Barracuda告诉我们，他们的全球管理系统为NG防火墙，称为控制中心，主要用于定义复杂的VPN配置以及分析来自多个防火墙的日志文件。Fortinet为FortiGate防火墙，Fortimanager（用于设备管理）和FortIAnalyzer（用于日志分析），提供两个不同的管理设备。

FortiAnalyzer是一个日志接收器，可复制并扩展到FortiGate本身上可用的报告。因为FortiGate有一个非常复杂的报告引擎和数据库内置，我们对FortiAnalyzer能够做的事情感到很好的感受。任何想要在FortiGate上运行报告的人都应该在他们的购物篮中添加FortIAnalyzer。在同一框中混合SQL数据库和防火墙是所有除了最小的部署中的灾难的方法，使得FortIAalyzer A“必须具有”，他们希望知道与防火墙发生在发生的情况下。

当我们查看IPv6支持时，我们对所有产品的弱势都感到失望。虽然Barracuda的NG防火墙在局域网上处理了IPv6，但可能是因为底层的Linux操作系统，他们的HTTP和HTTPS代理没有包括IPv6支持，使NG防火墙在任何IPv6防火墙环境中无用。检查点的安全网关几乎在LAN支持中实现了，并且确实允许防火墙规则中的IPv6地址，但在其动态路由引擎中没有包括IPv6支持，或者更重要的是，他们的下一代防火墙应用识别和控制规则。

Sonicos没有通过我们的IPv6测试，因为我们测试的软件版本没有IPv6支持 - 虽然其他旧的Sonicos软件版本包括IPv6支持，而SonicWALL告诉我们他们正在将工作IPv6返回给我们下一个软件构建。我们还发现FortiGate缺失功能您需要使其成为处理IPv6网络的防火墙，发出更多工作，使FortiGate真正的IPv6就绪。

我们对传统防火墙功能的评估并没有真正扰乱任何长期信仰。检查点的安全网关，我们测试中最古老的企业防火墙，也显示了最多的成熟度。SonicWall和Fortinet，传统上都强大了中型组织市场，在这些地区所需的特点方面表现出色，而梭子省NG防火墙是一个相对的新手，展示您预期的新产品的粗略边缘具有更短的开发历史。