基本防火墙功能:Check Point的成熟度一览无遗

企业防火墙必须具有流量控制策略，能够使用标准IPsec创建site-to-site vpn，能够在需要时进行地址和端口转换，能够对流量进行基本的带宽管理。它们还必须支持高可用性(主动/被动或主动/主动)、虚拟局域网、以太网链路聚合和全局管理系统等特性。

我们发现，下一代防火墙供应商只是简单地在现有防火墙之上分层应用感知功能。这是一件好事，因为它使防火墙更有可能不会遭受任何新产品可能存在的那种错误，而且因为它们一开始就拥有一个很棒的、经过测试的特性集。我们测试的产品包括Check Point、Fortinet、SonicWall和Barracuda Networks，它们没有不同的名称，甚至没有不同的授权。你不用订购下一代的SonicWall防火墙;你只需订购一个SonicWall防火墙，它拥有下一代的功能。Check Point, Fortinet和Barracuda Networks也是一样。

下一代防火墙:一个良好的开端

大多数读者都熟悉Check Point安全Gateway, Fortinet FortiGate和SonicWall SonicOS已经有了产品。Barracuda的NG防火墙在北美没有同样的市场渗透率——它来自于Barracuda在2009年收购的奥地利防火墙制造商Phion——所以该产品不会为人们所熟悉足球竞猜app软件读者。

梭鱼的NG防火墙状态包过滤但NG防火墙的体系结构更像是一个堡垒主机应用程序层防火墙(想想数字设备公司的密封或受信任的信息系统防火墙工具包),嵌入式HTTP代理,SSH和FTP,内部邮件网关处理SMTP流量,以及将通过防火墙的任何流量重定向到在防火墙上运行的应用程序的选项。

梭鱼NG防火墙是一个完全现代的产品，具有流量整形和UTM保护，集成IPSec和SSL VPN，甚至网络访问控制等功能，但NG防火墙看起来不像其他流行的防火墙产品。

这意味着，如果你计划评估Barracuda NG防火墙，在你的日程安排中增加一些空间来适应配置系统，并计划花一些时间与技术支持联系，就像我们做的那样，了解所有的部分是如何结合在一起的。

我们发现所有四种产品都符合企业防火墙的基本标准，这意味着您可以将它们用作组织的防火墙，而不涉及下一代特性。我们确实发现了一些区别，但更多的是在边缘功能上，而不是防火墙的核心功能。我们的测试标准集中在企业功能上，我们发现在高可用性和带宽管理方面最不成熟的防火墙产品是Barracuda NG防火墙。

例如，Barracuda NG Firewall的主要高可用性功能是基于主动/被动设备对，没有完全共享会话状态。Check Point Security Gateway、FortiGate和SonicOS系统都支持具有两个以上设备的主动/主动集群，在保护高可用性企业网络时，这是一个更有吸引力的选择。

由于产品之间有如此紧密的特性集，我们研究了更多的前沿特性，如动态路由、全局管理和IPv6支持。在我们的动态路由测试中，主要集中在BGP的集成上，是Check Point的安全网关和Fortinet的FortiGate，它们都与我们的同步正常思科基于边界网关协议路由器．

在Check Point的例子中，动态路由实际上是底层操作系统的一个功能，而不是防火墙。我们在Check Point的硬件上测试安全网关，使用他们新的“Gaia”操作系统，该系统集成了Check Point自己的安全平台(Linux诺基亚在几年前收购了诺基亚的防火墙设备业务后，推出了IPSO(基于bsd)操作系统。

Check Point的安全网关略微超过了Fortinet的FortiGate，因为基于gaiet的动态路由更容易通过一个相当完整的GUI进行配置。安全网关还为更复杂的设置提供了命令行界面(CLI)配置，以及其他协议，如多播路由(DVMRP)。Fortinet的FortiGate要求我们使用CLI，这是我们在测试过程中唯一需要深入到命令行界面的时候。

SonicWall未能通过我们的BGP测试，因为我们无法将SonicOS动态路由与我们的系统完全同步。一般来说，SonicWall对OSPF和RIP协议以外的任何协议的支持充其量只是半心半意。例如，我们无法让BGP正常工作的原因之一是SonicWall没有提供关于动态路由系统的文档。如果您想在动态路由环境中使用SonicWall，请坚持使用Open Shortest Path First，它有更好的文档和支持。在Barracuda NG Firewall的情况下，根本不支持BGP。

我们对全球管理的评估让Check Point安全网关遥遥领先。Check Point的企业防火墙总是需要一个集中的管理系统，与不那么复杂和不那么完整的产品相比，他们的经验表明。作为我们测试的一部分，Check Point发送了他们“不完全是SEIM”的产品SmartEvent，我们强烈推荐它用于任何“下一代”集中部署。SmartEvent是分析Check Point防火墙日志的关键组件;没有它，您就有了日志，但无法了解交通流和模式。

SonicWall的全球管理系统在同步防火墙配置、维护对象的一致性和收集流量信息方面提供了巨大的帮助。任何拥有大量SonicWall防火墙的人都应该强烈考虑将全球管理系统添加到他们的部署和管理工具包中。由于SonicWall内部日志系统的容量非常有限，通过Global Management system等工具进行外部日志分析对于任何调试或报告都是至关重要的。

Barracuda和Fortinet都没有提供他们的全球管理系统。Barracuda告诉我们，他们的NG防火墙全球管理系统叫做“控制中心”(Control Center)，主要用于定义复杂的VPN配置和分析来自多个防火墙的日志文件。Fortinet为FortiGate防火墙提供了两种不同的管理设备，FortiManager(用于设备管理)和FortiAnalyzer(用于日志分析)。

FortiAnalyzer是一个日志接收器，它复制和扩展FortiGate本身上可用的报告。因为FortiGate有一个非常复杂的报告引擎和内置的数据库，所以我们对FortiAnalyzer能够做什么有了很好的感觉。任何想要在FortiGate上运行报表的人都应该将FortiAnalyzer添加到他们的购物篮中。在同一台机器中混合使用SQL数据库和防火墙会导致除最小部署外的所有灾难，这使得FortiAnalyzer成为企业用户的“必备”，因为企业用户想知道他们的防火墙发生了什么。

当我们查看IPv6支持时，我们很失望地发现所有产品都有非常弱的特性。虽然Barracuda的NG防火墙在局域网上能很好地处理IPv6，可能是因为底层的Linux操作系统，但他们的HTTP和HTTPS代理不支持IPv6，使得NG防火墙在任何IPv6防火墙环境中都没用。Check Point的安全网关在局域网支持方面也做得很好，并且允许在防火墙规则中添加IPv6地址，但是在他们的动态路由引擎中，或者更重要的是，他们的下一代防火墙应用程序识别和控制规则中都没有包含IPv6支持。

SonicOS没有通过我们的IPv6测试，因为我们正在测试的软件版本没有IPv6支持——尽管其他，较老的，SonicOS软件版本确实包括IPv6支持，SonicWall告诉我们，他们将把一个工作的IPv6返回到下一个软件版本。我们还发现FortiGate缺少使其成为处理IPv6网络的防火墙所需的功能，这表明需要做更多的工作来使FortiGate真正做好IPv6准备。

我们对传统防火墙功能的评估并没有真正颠覆任何长期以来的信念。Check Point的安全网关，在我们的测试中最古老的企业防火墙，也显示出了最大的成熟度。SonicWall和Fortinet都是传统上在中等规模的组织市场上很强大的产品，它们在这些领域的功能上都很出色，而Barracuda NG防火墙，一个相对较新的产品，显示了你所期望的一个开发历史较短的新产品的粗糙的边缘。