参测产品点评

安氏领信：linktrust utm x5300

linktrust utm x5300是北京安氏领信科技发展有限公司开发的，面向企业级百兆高端应用市场的一款国产utm产品。linktrust utm x5300以领信安全实验室“linktrust security lab”的网络安全软件平台ltos为核心，在ltos核心层融会设计了安全检测引擎，并高度集成了防火墙、vpn、入侵检测/防护、防病毒、防垃圾邮件、p2p防护、内容安全控制、高可用性、带宽管理、anti-x服务、多媒体通信安全、即时消息过滤、认证授权、远程安全接入等众多安全功能。

x5300采用标准的1u机身设计，具备4个10/10mbps以太网接口，一个ids、ha以及gsm接口。另外，x5300还提供了console管理接口以及usb备用接口。x5300内置特征签名库可对各种端口扫描、信息探测、恶意攻击进行准确检测与有效阻断，使其对应用层攻击具备了全方位防护能力，特有的流量mirror port功能使网管对网络活动了如指掌。

x5300支持基于smtp、pop3、imap协议的垃圾邮件过滤，可智能识别多国语言，配合阈值过滤、rbl、路径检查、连接控制、转发控制、邮件控制、异常控制、流量控制和延时投递等综合安全控制手段对垃圾邮件进行控制。

另外，x5300还支持http、ftp协议的内容过滤，可实时检测出隐含在高层应用协议中的病毒、木马、蠕虫和恶意代码，除了实时响应、主动阻断之外还可动用多种手段通知管理员。

在性能测试方面，x5300表现良好，在开启防火墙模块、nat转换状态下，新建连接速率可达6435连接/秒，最大并发连接达到了80万，应用吞吐量可达94.0mbps。

在ipsec测试中，x5300与我们的avalanche测试仪进行ipsec vpn隧道协商时出了一些小问题。所以，我们在测试中采用两台相同的x5300进行ipsec vpn对连。x5300在开启防火墙、vpn、防病毒和入侵检测功能等模块时，应用吞吐量达到了88.1 mbps。

在功能测试方面，x5300可以支持路由、透明模式，另外通过3个网络接口可以实现路由和透明的混杂模式。对于im和p2p类软件的支持能力方面，x5300只能对特定版本qq、msn、shype等软件进行监控、识别，并可以进行相应的阻断或限流处理。

在易用性方面，x5300支持中文图形化web管理界面，便于管理员完成初始化系统配置。出于对系统安全性的考虑，x5300采用了符合gb/t 18336-2001安全设计要求的分级管理体系，aaa认证协议可保证对用户身份强制认证和安全审计。

在最后的综合评比中，linktrust utm x5300凭借其全面的表现，获得了此次《计算机世界》评测实验室utm横向比较测试的推荐产品奖。

亮点： 1. 性能表现出色；

2. 具备良好的用户认证机制。

不足：部分策略配置略显复杂。

fortinet：fortigate 400a

fortigate 400a是fortinet公司设计的基于asic硬件utm产品，可以在网络边界处为中小型企业提供实时的保护。fortigate 400a通过采用fortinet公司自主开发的fortiasic内容处理器和强化安全的操作系统fortios，可以有效降低因检测有害的病毒、蠕虫及其他基于内容的安全威胁而对网络性能的影响。

fortigate 400a除了提供防火墙、vpn和入侵检测/防御功能外，同时具有防病毒/蠕虫和web内容过滤等应用层功能，以及反垃圾邮件、反间谍件功能和流量控制功能，为日益增长的中小企业网络的安全需求，提供了其所需要的性能、灵活性和安全保证。

fortigate 400a有两个10/100/1000mbps自适应以太网接口，可以升级到千兆网络。同时，它还具有4个用户定义的10/10mbps接口，可以提供冗余的wan连接，高可靠性和多区域的特性允许管理员在划分其网络的区域时有更高的灵活性，并可以在不同区域之间设置策略。另外，fortigate 400a前面板具有lcd屏和简单的控制按键，可以在没有外部控制台的情况下为其提供简单的管理配置参数。

在性能测试方面，fortigate 400a表现出色，各项指标均为本次测试的最好成绩。在开启防火墙模块、nat转换状态下，新建连接速率可达10017连接/秒，最大并发连接达到了84.8万，应用吞吐量可达94.0mbps。

在测试中，fortigate 400a与我们的avalanche测试仪进行ipsec vpn隧道协商时出了一些小问题，所以我们在测试时，采用两台相同的fortigate 400a进行ipsec vpn对联。fortigate 400a在开启防火墙、vpn、防病毒和入侵检测功能等模块时，应用吞吐量达到了94.0mbps。这也是本次测试中，唯一一款在开启vpn、防病毒和入侵检测功能等功能后，应用吞吐量没有下降的产品。

在功能测试方面，fortigate 400a支持路由、透明模式，另外通过3个网络接口可以实现路由和透明的混杂模式。对于im和p2p类软件的支持能力方面，fortigate 400a做得也很好，可以成功识别这些网络应用，并可以进行相应的阻断或限流处理。

在易用性方面，fortigate 400a做得同样不错。操作简便的中文图形化web管理界面，便于引导管理员完成初始化系统配置。由于采用内存记录日志，所以fortigate 400a并没有什么强大的日志统计，用户在不关机的前提下，可以对近一段时间的日志信息进行分析。当然，如果结合上其配套使用的fortireporter组件，那么管理员也能够得到详细的分析报表。fortigate 400a的web管理界面并不具备网络故障检测工具，不过管理员可以通过基于web的cli控制台，以命令方式进行故障分析。

在最后的综合评比中，fortigate 400a凭借其在本次测试中出色的表现，获得了此次《计算机世界》评测实验室utm横向比较测试的推荐产品奖。

亮点：1. 性能表现出色；

2. 功能全面、易用性好。

不足：与测试仪的ipsec协商存在一些问题。

sonicwall：pro 4060

sonicwall pro 4060有效地集成了防火墙、vpn、网关防病毒、ips、反间谍软件、内容过滤等多种功能于一身，不仅可以防御来自internet的安全威胁，而且还能防御公司内部各个部门之间的安全威胁。

sonicwall pro 4060采用标准的1u机身设计，具备6个10/10mbps以太网接口，一个console管理接口。pro 4060支持双链路的负载均衡，可以多种方式实现双wan链路的出方向的负载均衡，确保关键服务的时时在线和业务的连续性。

sonicwall pro 4060的核心是一个功能强大的深度包检测引擎，能实时扫描网络流量，并在恶意威胁入侵网络之前在网关处将其屏蔽。由于采用了专利技术的高速dpi引擎，sonicwall pro 4060不需要把待扫描的文件完整地缓存到内存的一个缓冲区，消除了传统的网关防病毒产品对能够扫描的单个文件大小和同时扫描的文件数目的限制，真正地对每一个数据包做扫描。同时，该产品还采用创新的sonicwall clean vpn技术，可在移动用户及分支机构连接威胁网络之前对其进行净化。

sonicwall pro 4060可以紧密集成无线安全，自动检测发现和配置sonicwall的sonicpoint无线接入ap，在无线信道上可以采用ipsec vpn 加密，并可实现全部的utm功能，即在无线信道上实现病毒扫描、ips、反间谍软件等。

该产品还具备良好的voip防护能力，支持全部的h.323和sip协议，可以对h.323和sip呼叫信令做完善的语法校验，与ips特征库匹配，拒绝恶意呼叫，保护内部的voip设备的可用性。

在性能测试方面，sonicwall pro 4060表现良好。在开启防火墙模块、nat转换状态下，新建连接速率可达2995连接/秒，最大并发连接达到了35.3万，应用吞吐量可达94.0mbps。在开启防火墙、vpn、防病毒和入侵检测功能等模块时，sonicwall pro 4060应用吞吐量达到了92.7 mbps，与开启防火墙模块时的应用吞吐量相比仅有小幅下降。

在功能测试方面，sonicwall pro 4060支持路由、透明模式。另外通过3个网络接口可以实现路由和透明混杂的模式。对于im和p2p类软件的支持能力方面，sonicwall pro 4060做得不错，可以成功识别这些网络应用，并可以进行相应的阻断，不过不能对它们进行限流处理，略显不足。

在易用性方面，sonicwall pro 4060采用英文图形化的web管理界面，具备初始化配置向导，管理员可以轻松地实现初始化配合。

亮点： 1. 具备独特的voip网关保护模块；

2. 兼容wlan，提高了无线用户的安全性。

不足：目前版本不能支持对p2p软件的带宽控制。

watchguard：firebox x5000

firebox x5000是watchguard firebox x peak产品系列中的一款经典产品，隶属于watchguard统一威胁管理（utm）设备中性能最高的系列。firebox x5000集成了强大的安全功能和高级网络特性，提供能满足最苛求网络环境要求的整体解决方案，适用于成长型企业或远程办公企业。

firebox x5000 将状态包防火墙、vpn、预防御、网关防病毒、入侵预防、防间谍软件、防垃圾邮件和url过滤等功能集成于一台设备，提供全面的安全防护，同时降低了管理多点解决方案所需的时耗和成本。

firebox x5000 的智能分层安全（ils）可实时提供真正预防御，在发现漏洞、漏洞攻击程序创建和运行之前对新出现的未知威胁进行防御。另外，每项watchguard安全服务均与firebox x5000中内置的预防御配合工作，可以提供无懈可击的安全防护能力。而且，订购按设备数量而非用户数量计价，因此没有递增成本。所有安全服务均可持续升级，为用户提供最新的防护功能，并通过wsm集中管理，可实时观察所有安全功能的运行状态。

在性能测试方面，firebox x5000表现尚可。在开启防火墙模块、nat转换状态下，新建连接速率可达7550连接/秒，最大并发连接达到了25万，应用吞吐量可达94.0mbps。在开启防火墙、vpn、防病毒和入侵检测功能等模块时，firebox x5000应用吞吐量为9.8 mbps。

在功能测试方面，firebox x5000支持路由、透明模式，并可以在两个端口上实现路由和透明的混杂模式。对于im和p2p类软件的支持方面，firebox x5000表现一般，主要是目前并没有对部分im应用程序进行特征化处理。不过，firebox x5000还是可以通过采用ip、域名等方式进行阻挡的。

在易用性方面，虽说firebox x5000并不支持基于web的管理方式，但是其附带的watchguard system manager (wsm)并没有想像中的那么复杂，相反从最初的设备发现、配置向导到应用策略的定制都非常人性化，可以简化管理员的管理工作。另外，wsm为管理员提供了非常直观的设备运行监控，而且支持多种网络检测工具，并可以临时对某些可疑流量进行处理，非常适合管理员发现网络的瓶颈以及故障问题。wsm还包括全面的日志和报告、交互式实时监控以及拖放式vpn创建功能，无需增加成本。

亮点：1. 易用性高；

2. 对复杂网络的支持能力强。

不足：开启病毒、入侵检测模块后，对性能的影响较大。

zyxel：zywall 70 utm

zywall 70 utm是合勤科技专门为解决中小企业安全问题而设计的网络安全网关。zywall 70 utm采用合勤科技先进的secuasic硬件加速解决方案，在合勤科技独有zynosv4操作系统之上，有效地整合了包括防病毒、防垃圾邮件、入侵检测与保护、内容过滤、防火墙、vpn、负载均衡、带宽管理等8种中小企业常用的安全功能。

虽说zywall 70 utm是本次参考产品中体积最小的一款，但是其具备的网络接口数目一点也不少。zywall 70 utm具备1个百兆lan接口、2个百兆wan接口、4个百兆dmz接口、1个dial backup接口和一个console管理接口。由于采用了双wan接口设计，zywall 70 utm可以提供灵活的负载均衡能力，非常适合于那些需要多条线路上网的企业应用环境。

zywall 70 utm的防火墙检测模块可以在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，提取状态信息并动态地保存起来，作为以后制定安全策略时参考。

在网关杀毒方面，借助于卡斯巴斯基防病毒技术的支持，zywall 70 utm 具有强大的病毒侦测和清除功能。在垃圾邮件过滤方面，zywall 70 utm携手业界知名的mailshell，提供了强劲的防垃圾邮件功能，可以减少那些不请自来的邮件，防止钓鱼邮件，提高用户的工作效率，阻挡信息诱骗。值得一提的是，zywall 70 utm还可以通过添加一块无线网卡，以实现无线路由器功能。

在性能测试方面，zywall 70 utm由于硬件配置较低的原因，因此表现一般。在开启防火墙模块、nat转换状态下，新建连接速率可达330连接/秒，最大并发连接为1万，应用吞吐量为50.7 mbps。另外，在开启防火墙、vpn、防病毒和入侵检测功能等模块时，zywall 70 utm应用吞吐量达到了24.4mbps。

在功能测试方面，zywall 70 utm支持路由、透明模式，但是不能支持基于路由和透明的混杂模式。对于im和p2p类软件的支持能力方面，zywall 70 utm做得很好，可以成功识别这些网络应用，并可以进行相应的阻断或限流处理。

在易用性方面，zywall 70 utm采用web管理界面，便于引导管理员完成初始化系统配置。另外，为了方便管理员同时管理多台utm产品，合勤科技具备一款基于web的vantage 集中网管系统（cnm）。同时，通过zyxel vantage report网页式集中报告系统，管理员可以为分布式网络快速方便地搜集和分析通信数据。

亮点：1. 易用性好；

2. 兼容wlan，提高了无线用户的安全性。

不足：与其他产品相比，性能方面略显不足。

市场参考价：15万元