检查站的UTM管理萎靡不振;思科,Juniper普及

没有良好的经营管理工具,企业级一体化威胁管理防火墙我们测试将packet-pushers多贵。

检查的失误的机会思科和瞻博网络。如果有一个奖“最提高管理能力,“我们给思科。思科安全管理器(CSM)表明,而确实晚了几年党——思科不仅理解如何管理企业防火墙(从命令行提示:它不是),但也将其软件的幻灯片演示。

思科的管理收益

思科的总体策略管理非常出色,和它的VPN管理工具是光滑的。例如,策略可以定义在一个分层的方式,和防火墙可以链接到各级政策,简化常见的配置,同时允许定制的个人设备。

当然,完美尚未来临。CSM很多它的结构来自底层的防火墙,所以人是熟悉ASA或沥青,思科的年长的独立的防火墙产品,能够理解CSM在做什么。

在某些情况下,这很好;在其他方面,它不是那么好,因为有些丑陋的旧沥青的结构代码被发扬光大。以NAT管理为例。与防火墙策略,是如此混乱,连大师从思科帮助我们安装错了。

在其他地方,思科似乎已经忘记把功能纳入管理。例如,CSM不能显示你的性能,错误和状态信息。相反,它发射种每设备管理工具,它具有良好的状态信息,但只能跟一个防火墙。

现在你有两个管理工具指向相同的防火墙,提高潜在的冲突的政策更新。甚至不考虑连接ip分析(这需要一个单独的应用程序和单独购买的监控、分析和响应系统设备)策略管理,因为它根本就不可行。

瞻博网络的管理系统

防火墙安全管理器(销售经理),该工具用于驱动防火墙,Juniper捡起三年前购买防火墙,也已经成熟不少,因为它被引入。销售经理是一个应用程序,它结合了防火墙和IPS管理、取证、监视和报警,允许流量通过防火墙和NAT和UTM特性,适用于这一政策。这个链接在所有方面的政策使它容易理解防火墙会做什么,以及为什么。

销售经理的问题,比如其脆弱的IPS取证工具,它无法创建政策,包括多个区域,将是显而易见的任何人与UTM建立和管理大型政策功能。说,这些警告不应该阻止销售经理坐在企业级UTM防火墙管理列表的顶部。

SonicWall,沃奇卫士产品

其显示时带来了管理功能企业水平。而为其平台集中管理工具符合基本要求,更有趣的是提高防火墙的可管理性。我们发现了大量的好控制旋钮SonicWall Pro 5060防火墙中明显的关注的结果中小型企业市场。许多这样的调整很好地转化为企业。

例如,其Pro 5060 SSL控制功能,允许您执行某些SSL策略,如阻塞证书签署一个不受信任的证书颁发机构或过期证书——好的工具却在战争中钓鱼。Pro 5060也有单独授权应用程序层防火墙,可以用来查看网页,邮件和FTP协议非常高级UTM-flavored控制。

沃奇卫士技术水平也有提高其管理工具,但很难建立一个管理应用程序驱动所有的UTM特性。控制和观察燃烧室高峰我们测试了,我们不得不跑6应用程序常常,所有一些重叠和不同风格的GUI。检查的管理使用多个应用程序,但是这些良好的集成和一致的,你不觉得你在不同的工具当你移动。

这不是真的沃奇卫士。有很多很深的角落,你必须探索使产品做你需要做的事情。我们花了四个尝试杀毒软件配置,使燃烧室峰扫描所有我们想要的扫描病毒。

不是企业费用

当涉及到管理完全不适合企业级UTM防火墙,我们必须指出IBM网络安全系统SiteProtector,管理设备用来控制所有IBM /空间站产品,从IPS和入侵检测系统(id)桌面保护工具和企业UTM防火墙。原Proventia多功能安全设备是一种对ISS (IBM收购前)高端IPS为分支机构的功能。所有需要的是一个典型的分公司两个区域,两个或三个策略规则和建立一个隧道回到总部。

的Proventia MX5010我们测试这些功能,但是什么都没有。它的工具用于创建防火墙策略可言,完全不适合一个企业防火墙。SiteProtector充斥着毫无意义的术语(例如,防火墙被称为代理),有一个策略管理系统设计的一个分支而不是企业防火墙部署。例如,当我们想要打开高可用性,我们必须添加一组规则只是为了让箱子相互交谈。甚至特殊向导空间站发送我们忘了提到这个小细节。我们遇到了一个几乎相同的问题当我们打开动态路由,这要求我们添加一个特定的防火墙规则来开放最短路径优先更新被防火墙。

安全计算来到这个测试在产品生命周期在一个尴尬的时刻。响尾蛇导弹防火墙行从来没有真正的集中管理。当安全计算Cyberguard买,其他企业proxy-firewall供应商,宝石拿起是Cyberguard的集中管理工具。不幸的是,虽然公司发布版本7响尾蛇导弹,但管理工具没有准备好评价。我们确实发现防火墙本身的管理模式是优雅。响尾蛇导弹一直是基于zone防火墙(确保计算称之为“郊区”)之前区域是受欢迎的,和安全专家会发现安全计算提供了有吸引力的工具。网络管理人员可能会发现努力响尾蛇导弹。

的问题深入命令行更麻烦,Fortinet的FortiGate 3600 a。我们不能管理FortiGate防火墙作为UTM设备在企业没有这样做。许多功能我们需要完成我们的测试仅仅是可用的。(Fortinet集中管理工具,FortiManager,但拒绝提供这个测试)。

命令行界面留下了许多不确定性的状态政策,当前活动的防火墙功能和可用性。你真的要阅读2000页的文档了解是怎么回事?是的,事实上,你做的事情。如果Fortinet希望竞争的FortiGate线作为真正的企业防火墙,它要花更多的时间看看管理等领导人检查之前有人重视他们。

Astaro网络安全的管理也需要时间和工程技术成熟。使用一个基于web的GUI (Astaro没有发送其集中管理工具提交),网络管理人员清楚地了解很多有趣的,基于开放源代码的特性被捣碎成一个单一的产品。

然而,Astaro未能整合这些功能的管理。例如,如果您希望允许HTTP流量通过防火墙,你去一个GUI的一部分,建立一个包过滤规则让HTTP通过。如果你那么想,交通进行病毒扫描,然而,你去一个不同的GUI和打开HTTP代理的一部分——退出你的包过滤规则,以免混淆东西——代理和配置病毒扫描。总的来说,Astaro还没有准备好企业的黄金时段。说,任何供应商这种灵活性需要仔细看着未来的现货。

了解更多关于这个话题

买方指南:统一威胁管理

五关于部署企业UTM的技巧

08/30/07

如何选择企业UTM防火墙

08/30/07