AV的位置不是一体化的安全框

没有真正的协议杀毒对于企业级来说，软件是必需的，甚至是一个好主意防火墙。

一些人认为杀毒软件保护与统一威胁管理(UTM)防火墙部署无关，因为桌面防病毒应用程序和一封电子邮件安全器具对病毒做好扫描。其他人认为坐在UTM内部巨大的奖金，因为他们希望每种可能的“防御深度”功能阻止在网络上的其他地方的病毒。

根据我们的测试，前一种态度证明是最站得住脚的。当UTM组合中包含反病毒扫描时，我们不仅看到了难以置信的性能问题，而且我们还发现，这些防火墙在任何情况下都不能很好地查找病毒。

我们遇到了有缺陷的实现，以及防病毒扫描正常工作所需的bug和隐藏特性。

我们开始测试，了解大多数供应商觉得基于UTM的防病毒扫描很有用小型企业扇区，但不一定是千兆速度企业防火墙部署。正是杀毒停止有用的地方尚不清楚。

我们很快发现，这些参与的厂商很少认真对待杀毒软件。有些甚至没有把它包括在他们的高端盒子里。例如,瞻博网络ISG-1000让你在病毒和入侵防御之间做出选择。的思科ASA5540没有给您任何防病毒管理选项。

不过，一些供应商确实给予防病毒的机会。安全计算的Sidewinder为防病毒扫描参数提供网络管理器。对于使用HTTP，FTP和SMTP协议允许通过防火墙进行流量的规则，您可以指定要扫描的内容，以及要扫描的多功能互联网邮件extens类型。

Sidewinder在阻止所有FTP，SMTP和HTTP病毒中获得了完美的分数。但是，当我们尝试通过防火墙使用非标准HTTP端口发送病毒时，Sidewinder错过了所有。然而，扫描以适度的性能成本，用防病毒扫描将Sidewinder 2150d的吞吐量丢弃约50％。

响尾蛇粉丝可能会抗议这是一个不公平的测试，因为我们必须创建一个“非响尾蛇式”的政策，允许流量从非标准端口流出。也许是这样，但底线是，除非你事先知道，否则你无法覆盖所有的病毒防护。

当我们尝试配置SMTP扫描时，我们发现为什么安全计算到其投资组合IronMail，Antispam-Antivirus消息传递 - 安全网关。虽然Sidewinder作为设备防火墙出售，但有多个死角，防火墙结束，您突然管理UNIX系统。电子邮件是其中之一。如果要为病毒扫描电子邮件，则必须在Sidewinder上配置Sendmail。您可以在您可以扫描电子邮件的方向上有限。此外，性能在SMTP中悲惨，防病毒扫描仪需要64秒钟来处理20个电子邮件。

Fortinet当然知道如何设置防病毒扫描。通过FortiGate 3600A防火墙的每一条规则都可以调用一个保护配置文件，以启用反病毒扫描。此外，FortiGate框支持多种协议，将消息传递和网络新闻传输协议添加到标准邮件(SMTP、POP、IMAP)、Web和FTP协议中。FortiGate的日志是完整的，性能令人难以置信，扫描速度为500Mbps。

不幸的是，FortiGate 360​​0A最初只抓到我们通过它发送的60％的病毒。它也有一种令人讨厌的配置，在删除病毒后，盒子在含有病毒的电子邮件上的配置。由于大多数病毒未附加到合法的电子邮件中，因此在没有病毒的情况下通过垃圾邮件发送不再是企业电子邮件管理中的最佳实践。我们感到失望，没有办法告诉一个系统扫描所有端口上的所有流量。如果在整个测试中有任何产品可能用于企业速度防病毒扫描，FortiGate是它，除了您无法在所有端口上扫描所有流量。

此外，FortiGate成功的秘诀隐藏在它的命令行界面(CLI)中。虽然小型FortiGate防火墙的SMB用户可能乐于使用基于web的GUI，但企业管理人员必须精通CLI，才能获得所需的控制。通过启用启发式病毒扫描功能，我们将FortiGate在邮件、FTP和SMTP上的捕获率提高了100%。

Juniper的高速ISG-1000和ISG-2000防火墙不支持反病毒功能。我们测试了Juniper的SSG-520M。由于具有相当标准的策略配置，包括FTP、HTTP和邮件协议SMTP、POP和IMAP, SSG-520M错过了它应该捕获的两种病毒，并且——与大多数其他防火墙一样——在非标准端口上没有捕获任何病毒。启用防病毒扫描后，SSG-520M的速度降至约160Mbps。

我们的多个检查当杀毒软件投入使用时，软件提交的行为完全不同。的IBM.System x3650服务器包括Check Point的全新CoreXL技术，该技术让Check Point软件利用多cpu或多核系统，但不包括杀毒扫描或URL过滤。

对于支持反病毒扫描的平台(包括Check Point UTM-1 2050, Crossbeam Systems C25和Nokia IP290)， Check Point管理系统的细节和控制水平令人失望。无论设置何种反病毒策略，都会应用于同一SmartCenter内管理的所有网关。如果您正在管理500个分支机构设备，那么这可能没问题，因为您可能希望对每个分支机构使用相同的策略。也就是说，在我们测试的Check Point网关上，反病毒扫描的最低性能命中率为87%。这种性能下降要求在配置中具有比“一种策略适用于所有人”更大的特异性。

检查禁止扫描的检查点平台涵盖SMTP，POP3，FTP和HTTP协议。再次，非标准端口，如Web服务器在80端口以外的端口上运行，不能自动扫描病毒。在Check Point自己的UTM-1 2250硬件和Crossbeam的C25系统上，防火墙让三种病毒在覆盖端口上通过，所有病毒在未覆盖端口上通过。再加上巨大的减速(我们的Crossbeam C25下降到大约60Mbps，对于这样高速的硬件来说是一个非常慢的速度)，以及前面提到的策略定义问题，建议Check Point防火墙的防病毒功能应该关闭。

诺基亚IP290防火墙也运行CheckPoint VPN-1软件，我们遇到了不同的问题。使用同样的策略，他们阻止了C25和UTM-1漏掉的三种病毒。然而，诺基亚的防火墙不能对虚拟局域网端口进行防病毒扫描，这是一个奇怪的配置限制。我们必须重新设计我们的测试平台，以获得IP290防火墙上的性能数据。

SonicWall最初也让我们大吃一惊。虽然SonicWall扫描了一长列协议，包括HTTP、FTP、SMTP、POP、IMAP、CIFS和通用TCP流，但我们测试的客户发布软件中有一些严重的问题:Pro 5060捕获了42%的病毒，尽管配置应该覆盖100%的流量。SonicWall的工程师为我们提供了一个特殊的bug修复版本，解决了这个问题，使SonicWall在整个测试中获得了最高的防病毒捕获分数，达到了85%。反病毒扫描的性能约为210Mbps，低于未进行反病毒扫描时的近600Mbps。

我们也期待着WatchGuard Technologies(另一家SMB领域的老将)的出色表现，但最终还是失望了。像SonicWall一样，WatchGuard很容易覆盖所有协议，而且它是唯一能够捕获我们的非标准HTTP病毒的供应商。不幸的是，虽然WatchGuard捕捉到了我们通过电子邮件发送的大多数病毒，但它错过了我们通过FTP发送的所有病毒，使总覆盖率达到45%。启用病毒防护的性能损失很大，使总吞吐量从超过1Gbps降至不足200Mbps。

这种奇怪的行为可能是WatchGuard Firebox Peak工作方式的副作用。Firebox Peak是一款基于代理的防火墙，对一个代理进行防病毒，目前只支持SMTP、HTTP和通用TCP三种代理。这意味着，由于FTP使用自己的代理，反病毒扫描不会覆盖FTP流量。我们对Firebox Peak代理中用于防病毒扫描的各种控件印象深刻。没有人会说Firebox Peak的代理对什么以及如何扫描病毒没有足够的控制。

我们唯一的抱怨是违约。例如，默认情况下，Firebox Peak会阻止所有Java、ZIP和EXE文件和归档文件。这对小型企业可能是安全的，但企业网络经理可能需要花时间在Firebox Peak满足他们的需求之前删除一些默认配置。

另外两种产品在SMB和分支机构环境中享有成功，并为我们提供企业级防病毒支持是Astaro Internet Systems'ASG 425A和IBM Internet Security Systems'Crententia MX5010，其中最多 - 但不是全部 -标准港口的病毒并错过了非标准港口流量。

思科的ASA5540有一个插槽，这意味着您被迫在其IPS和其防病毒模块之间进行选择 - 而思科表示其企业客户通常选择IPS模块。因此，我们无法在ASA5540防火墙中测试防病毒功能。在我们的最终记分卡中，我们报告了我们对抗病毒扫描能力的产品的抗病毒覆盖和管理的分数，但在每个产品的底线最终得分中不包括防病毒评分。

了解有关此主题的更多信息

买方指南:统一威胁管理

独立的IPSs死了吗?09/26/07

如何选择企业UTM防火墙

08/30/07