Check Point的UTM管理出现问题；思科、Juniper取得进展

如果没有良好的管理工具，我们测试的企业级统一威胁管理防火墙将比昂贵的数据包推送者更少。

检查点的失误给我们提供了一个机会思科和瞻博网络．如果有一个“最佳管理能力奖”，我们会把它颁给思科。思科安全管理器(CSM)证明了——虽然确实迟了几年——思科不仅了解如何管理企业防火墙(提示:它不是通过命令行)，而且还把它的软件放在了PowerPoint演示文稿原来的位置。

思科的管理收益

Cisco的总体策略管理做得很好，其VPN管理工具也很灵活。例如，策略可以分层定义，防火墙可以链接到不同级别的策略中，从而简化常见配置，同时允许自定义单个设备。

当然，我们还没有达到完美。CSM的很多结构都来自底层防火墙，所以熟悉思科较早推出的独立防火墙产品ASA或PIX的人，应该能够理解CSM在做什么。

在某些情况下，这是好事;在另一些地方，它就没那么好了，因为旧的PIX代码的一些丑陋的结构正在被继承。以NAT管理为例。它与防火墙策略是断开的，而且非常混乱，甚至连帮助我们安装的思科(Cisco)专家也弄错了。

在其他地方，思科似乎忘记了在其中央管理中加入一些功能。例如，CSM不能显示性能、错误和状态信息。相反，它会启动每个设备的管理工具，该工具有良好的状态信息，但一次只能与一个防火墙对话。

现在，您已经有两个管理工具指向同一个防火墙，增加了策略更新冲突的可能性。甚至不要考虑将IPS分析(它需要一个单独的应用程序和单独购买的监视、分析和响应系统设备)与策略管理联系起来，因为它不是那样工作的。

Juniper的管理系统

netscreensecuritymanager（NSM）是Juniper三年前购买NetScreen时用来驱动防火墙的工具，自推出以来，它也已经相当成熟。NSM是一个单一的应用程序，它结合了防火墙和IPS管理、取证、监控和警报，允许流量通过防火墙，并具有适用于该策略的所有NAT和UTM功能。策略所有方面之间的这种联系使我们很容易理解防火墙将要做什么以及为什么要这样做。

NSM的问题，例如其弱IPS取证工具及其无法创建包含多个区域的策略，对于任何构建和管理具有UTM功能的大型政策，将是显而易见的。也就是说，这些警告不应该让NSM坐在企业级UTM防火墙管理列表之上。

SonicWall,沃奇卫士产品

SonicWall在将其管理功能提升到企业级方面取得了长足的进步。虽然SonicWall平台的集中式管理工具满足基本要求，但更有趣的是防火墙可管理性的改进。我们在SonicWall Pro 5060防火墙中发现了许多不错的控制旋钮，这是专注于中小型企业市场。这些调整中的许多调整非常好地转化为企业。

例如，SonicWALL PRO 5060具有SSL控制功能，可允许您强制执行某些SSL策略，例如由不受信用的证书颁发机构或过期的证书签名的阻止证书 - 在WAR WAT上进行网络钓鱼的良好工具。PRO 5060还具有单独许可的应用层防火墙，可用于调查用于非常高级别的UTM调味控件的Web，邮件和FTP协议。

WatchGuard Technologies也提高了其管理工具的水平，但正在艰难地构建一个单一的管理应用程序来驱动其所有UTM功能。为了控制和观察我们测试的Firebox Peak，我们必须运行6个应用程序，所有这些都有一些重叠，并且通常是非常不同的GUI样式。Check Point的管理层也使用多个应用程序，但这些应用程序的集成度和一致性非常好，当您在它们之间移动时，您不会觉得自己身处不同的工具中。

对于WatchGuard，情况并非如此。要使产品达到您所需要的效果，您必须探索许多深层次的领域。我们尝试了四次防病毒配置，才让Firebox Peak扫描到我们希望它扫描的所有病毒。

不是企业费用

当提到完全不适合企业级UTM防火墙的管理时，我们必须指出IBM互联网安全系统SiteProtector是一种管理设备，用于控制所有IBM/ISS产品，包括IPS和入侵检测系统(身份证)、桌面保护工具、企业UTM防火墙。最初的Proventia多功能安全设备是ISS(在IBM收购之前)将其高端IPS功能引入分支机构的一种方式。一个典型的分支机构只需要两个区域、两三个政策规则和一条通往总部的隧道。

我们测试的Proventia MX5010有这些功能，但没有其他功能。它用于创建防火墙策略的工具非常糟糕，完全不适合企业防火墙。SiteProtector充满了毫无意义的术语(例如，防火墙被称为代理)，并且有一个为分支而不是为企业防火墙部署而设计的策略管理系统。例如，当我们想要打开高可用性时，我们必须添加一组规则，只是为了让盒子之间相互通信。就连国际空间站派来的特殊巫师也忘了提到这个小细节。当我们打开动态路由时，我们遇到了一个几乎相同的问题，这需要我们添加一个特定的防火墙规则来允许先开最短路径更新将被防火墙看到。

安全计算在其产品生命周期的一个尴尬点处进入了该测试。Sidewinder防火墙线从未具有真正的集中管理。当安全计算购买了Cyber​​guard时，另一个企业代理防火墙供应商，其中一个创业板是Cyber​​guard的集中管理工具。不幸的是，虽然公司发布了第7版的Sidewinder，但管理工具还没准备好进行评估。我们确实发现防火墙本身的管理模式很优雅。Sidewinder一直是基于区域的防火墙（安全计算调用他们“Burbs”），因为在区域之前很受欢迎，并且安全Wonk将找到可靠计算提供有吸引力的工具。网络管理人员可能会发现Sidewinder难忘。

对于Fortinet的FortiGate 3600A来说，不得不进入命令行的问题更加麻烦。如果不这样做，我们就无法在企业中将FortiGate防火墙作为UTM设备进行管理。我们需要完成测试的许多功能只在那里可用。(Fortinet有一个集中管理工具FortiManager，但拒绝为本次测试提供该工具。)

命令行界面在策略状态、防火墙当前活动和功能可用性方面留下了很多不确定性。你真的需要阅读2000页的文档才能理解发生了什么吗？嗯，是的，事实上，你知道。如果Fortinet希望FortiGate产品线作为真正的企业防火墙进行竞争，那么在任何人认真对待它们之前，它将不得不花更多的时间从诸如Check Point这样的领导者那里审视管理。

Astaro互联网安全的管理也需要时间和工程专业知识，以使其成熟。有了基于web的GUI (Astaro并没有将其集中管理工具发送给它的提交)，网络管理员就会清楚地知道，许多有趣的、基于开源的特性已经被整合到一个产品中。

然而，Astaro未能整合这些功能的管理。例如，如果您希望允许HTTP通信通过防火墙，请转到GUI的一个部分，并建立一个数据包过滤规则以允许HTTP通过。但是，如果您想扫描该流量中的病毒，那么可以转到GUI的另一个部分，打开HTTP代理--拉出数据包过滤规则，以免混淆--并在代理上配置病毒扫描。总的来说，阿斯塔罗还没有为企业黄金时间做好准备。也就是说，任何具有这种敏捷性的供应商都需要仔细观察，以便在那里找到未来的销售点。

了解更多关于这个主题的信息

买方指南:统一威胁管理

部署企业UTM的五个技巧

08/30/07

如何选择企业UTM防火墙

08/30/07