检查点采用URL过滤的最佳方法

URL过滤已经成为大多数统一威胁管理防火墙的一个“复选框”功能，这并不奇怪:它不需要太多的想象力来做好它，而且很难真正让自己与众不同或做得不好。

三家供应商进行了测试SonicWall.，Fortinet和Barracuda - 有几乎相同的接口来定义URL过滤策略。有一些微小的差异 - 例如，Fortinet有一个可爱的功能，将限制您在类别上花费的时间（“您可以查看体育页面，但只有5分钟”），但一般有点差异。

下一代防火墙:一个良好的开端

Barracuda NG防火墙有一个主要的缺陷，需要在5.4版本中修复，这要求我们为HTTP和HTTPS代理建立独立的策略，增加了维护策略的时间，增加了人为错误的机会。

通过将URL筛选与应用程序标识和控件集成到单个策略中，检查点采用非常不同的方法。检查点的两种工具的组合是建立下一代防火墙的更好方式。URL过滤和应用程序控件在许多方面密切相关和重叠。

例如，阻断对外部web邮件服务器的访问，既可以通过应用识别查找私有web邮件服务器，也可以通过URL过滤查找公共web邮件服务器。结合使用这两种技术比只使用一种要好。

我们的反恶意软件测试确实突出了产品与跨越广泛流量的病毒的方法之间的差异。这里的两颗秀丽的展示是Fortinet，用于拥有最好的防病毒发动机和SonicWALL，在不同类型的交通中具有最佳覆盖率。

这两个检查安全Gateway和Barracuda NG防火墙在许多不同的病毒中发现了不好的任务应用程序不过，Check Point Security Gateway确实包含了一个新的反机器人检测系统。

我们使用近少数最近的病毒测试，我们在测试开始之前在野外发现。每种产品都有足够的时间 - 超过两周 - 更新他们的签名以捕获我们使用的病毒。FortiGate捕获了100％的病毒，我们扔了它。下一步在线是Sonicos，当我们在HTTP和HTTPS协议上发送它们时，占用了100％的病毒，但在使用FTP，IMAP和SMTP时略少。检查点安全网关和Barracuda NG防火墙在我们的小样本中捕获了更少的病毒（分别为80％和90％）。

更重要的结果是覆盖了各种协议，这也是SonicWall的亮点所在。不管我们把病毒藏在哪里，只有声波墙能找到它们。在配置SonicWall来捕获恶意软件时，您不会列出特定的端口，而是在这些端口上运行的应用程序:HTTP, FTP, IMAP, SMTP, POP3, CIFS (微软文件共享)，以及“其他一切”。当我们使用普通协议通过防火墙发送病毒时，反恶意软件引擎会检测流量。它并没有在每一种情况下捕捉到每一种病毒，但也没有完全没有进行检查的漏洞。

FortiGate Anti-Malware引擎工作很大，但只会在明确列出的港口中检查流量。这意味着一个网服务器在一个普通的港口，比如80号或443号港口，检查就可以了。然而，如果有人在互联网上的一个非标准端口上有一个带有恶意软件的web服务器，比如81，那么FortiGate不会捕获它。您的替代方案是阻止非标准端口——一个肯定会让用户不高兴的方法和一个糟糕的解决方案——或者在您的安全覆盖中有一个漏洞。

当我们测试它时，校验点安全网关正在迅速发生反恶意软件区域的快速变化，因此我们的结果可能在最终发布的软件版本R75.40时，我们的结果可能不代表最终状态。检查点告诉我们，它与其反恶意软件引擎供应商合作，以实现更高的捕获率，但是我们的一些测试场景，例如IMAP和SMTP，即使在最终版本中也不会得到支持。

其中一个反恶意软件功能检查点提供了我们在其他产品中没有看到的是反机器人保护。如果防恶意软件为防止感染，则旨在捕获感染后的抗机器人保护，如指挥控制渠道，并试图传播感染或发送垃圾邮件。我们没有测试防弹电保护，因为其他供应商都没有提供此功能。

我们在测试Barracuda NG防火墙的反恶意软件功能时，我们有更困难的时间，因为NG防火墙使用代理来处理病毒扫描。Barracuda告诉我们，我们在这部分测试中看到的许多问题将在即将到来的v5.4发布中得到解决。

在HTTP流量的情况下，只要它在标准端口上（在非标准端口上通过HTTP发送病毒，不会激活代理，NG防火墙就透明地拦截流量对于HTTPS流量，必须手动配置NG防火墙作为安全代理 - 与我们测试的其余产品不同 - 所以我们必须更改我们的测试方法，以便让防火墙扫描HTTPS流量。

我们在尝试让Barracuda NG防火墙扫描邮件流量时遇到了不同的问题。这只在防火墙用作邮件网关时有效。当我们在没有使用邮件网关的情况下通过NG防火墙发送邮件时，就失去了扫描恶意软件的能力。

谈到采摘最好的反恶意软件时，我们发现所有产品中的优势和缺点。当然，SonicWALL和Fortinet在我们的过滤中转动了最佳结果，但我们认为检查点安全网关的反机器人功能和统一的URL过滤和应用程序控制功能使其略有优势，即使没有最好的抗 -恶意软件引擎。测试中出现的问题珠三一杆防火墙可以在产品的下一个版本中解决，但现在他们导致我们将产品排名在比赛之下。