一体化网络防护

通过把多项安全功能组合进一个盒子里来简化网络安全，这是一体化威胁管理设备的主要卖点。

罗伯特.斯米瑟斯,martin milner

对于打算部署一体化威胁管理（utm）技术的公司来说，需要考虑的产品和方案有很多，不同的产品涉及特定的网络需求。utm的确非常诱人，因为企业和管理员在应对it软硬件扩充的战争的同时，还得同日益严重的网络威胁做斗争。utm设备供应商声称其一揽子解决方案相比独立的安全应用而言，提供了更全面的保护，更方便的管理及更好的投资回报（roi）。

为了满足由miercom进行的测试对utm设备的定义要求，设备必须包含有一个状态防火墙（fw），入侵检测（ids），某种形式的入侵防护（ips），垃圾邮件防护（antispam）及病毒防护（av）。该设备还必须能并发执行这些功能。

miercom评测了来自4个供应商的设备：fortinet ()的fortigate 3016b, juniper networks )的ssg-550 , sonicwall ()的nsa e7500，watchguard technologies () 的firebox peak x 8500e utm bundle。 之所以选择这几家供应商是因为它们为企业市场提供了完整的utm安全解决方案，并占据了显著的市场份额。

测试同时关注utm设备的效率和吞吐性。测试被设计用来强调设备的过滤能力，并评估这些（过滤）措施将如何影响网络吞吐量。对不同能力及不同产品的评估内容包括支持的节点数量、所提供的安全保护类型、是否允许固件升级及其他一些先进特性。

utm设备的测试方案以独特的方式进行检测。检测内容包括utm组件是如何集成的、策略配置和修改的容易程度以及管理报表流量监控的明确性。

性能测试包括了用ixia() 的xm12负载生成器进行的吞吐能力分析，以及用breakpoint system() 的bps-1k 安全设备和mudynamics () 的mu-4000多协议测试设备进行的威胁阻止分析，还有miercom内部版的漏洞和威胁分析脚本及攻击技术套装，该套装20年间业已在测试网络产品上编译通过。

breakingpoint的系统提供了一个5级强度的攻击测试，包括了侦测、网络蠕虫、拒绝服务攻击、踩点攻击、特洛伊木马和后门入侵。

mudynamics部分，测试了被测系统（sut）保护网络免受已知木马威胁的能力，甚至是在被测系统打补丁之前。mu的已公布漏洞分析（pva）套件评估了sut保护漏洞的能力，不是通过挖掘，检查流量模式来发现新的威胁。

utm效率测试产生出数据来确认那些sut执行了被期望的功能。阻止攻击的效率是这部分评估的目标。吞吐量处理作为独立的评估部分来衡量这些系统。

部署utm技术最重要的是当所有服务都被激活的时候它工作起来有多快。测试证明服务的激活-尤其是病毒防护-使得吞吐量大幅放缓。最后，还分析了设备的管理和监控界面,以评估设计的效率和直观感觉。

这四台utm设备还远未达到即插即用，在安装过程中出现了令人沮丧的障碍和毛病。部分管理界面难以使用，可能会影响有效的部署。

要有全面的安全保护，对盒子设备的要求是很高的，尤其是企业级需求中。4个被测设备中的3个，在阻止三套安全效率测试系统提供的许多项安全威胁攻击时均告失败。watchguard firebox peak x 8500e是个例外，它通过了所有安全效率测试。

不管有没有启用全部的对抗手段，the sonicwall nsa e7500 都会处理网络流量。既然没有一台被测设备能拦截所有的威胁，也不能产生全线速的网络保护，企业也许会考虑采用独立的网络和终端安全应用。

fortinet fortigate 3016b

fortinet的 fortigate 3016b是在2007年时，作为该公司的fortigate 3000 utm系列的扩展而引入的。或，如其所称，“多威胁安全设备”。3016b被设计为具有高扩展性，可提供高达26gbps的防火墙性能，并可选配安装扩展模块。

它包括了fw（防火墙），ips/ids（入侵保护/入侵检测），av（防病毒）和asp。3016b有两个内置千兆以太口（铜）及16个sfp（光）接口，其中2个可以是光纤。可用性方面，3016b是热插拔的，有冗余电源和风扇。

fortinet的监控和管理手段包括一个单屏、基于web的用户界面，命令行界面和控制接口以及ssh。管理是基于角色的，支持多语种、多管理员和用户级别。管理可通过其fortimanager集中完成。

系统把拦截的信息拆分为每一个ips所检测出来的病毒的数字，这意味着用户无需查询日志来获得该方面信息。他会发送日志给syslog及/或趋势增强型日志文件（welf）服务器。

厂家提供了历史和实时报表，并可通过邮件发送病毒和攻击信息。日志由其forianalyzer实现。

fortinet使用了一种保护档案（profile）。一旦创建，该档可赋为多个区域的名字。这使得在多个网络分区实现同一策略变得简单。

3016b会向管理员展示最新的病毒签名更新。签名每天更新一次。该设备的ips可防护超过3000种已知威胁，并包含有协议异常分析。盒子之外，设备被设为允许任何流量通过，让用户指定阻塞哪些流量（通过包过滤）。

为了提高3016b的速度，fortinet给其fortiasic-cp6内容处理器搭配了一个叫做fortiasic-np2的新的网络处理器。甚至为了进一步提高速度，尤其是当用于时间敏感性的应用，如voip时，fortinet提供了硬件加速的千兆以太网接口。

在性能测试过程中，3016b在启用状态防火墙的情况下取得324mbps的性能。测试只用到其18个接口中的6个，没有安装扩展模块。如果应用更多的接口以分担流量的话，该sut可能会测出更高的吞吐量；但是，我们的测试必须在评测时保持接口数量和类型的一致性。

3016b在启用防火墙及ips的情况下取得274mbps的性能，关掉ips激活防病毒时是231mbps，并发执行ips、防病毒及防火墙时是167mbps。

3016b阻止了生成自mudynamics pva测试的92%的威胁，和breakingpoint的44%。

juniper networks ssg-550

ssg 550，juniper ssg 500系列utm的一部分，被打上了大型分支机构和中型企业的安全平台的标记。支持最多256,000个并发会话，每秒新建会话数可达15,000。

设备使用状态防火墙，ipsec，vpn，ips，av，asp和web过滤来防护蠕虫、病毒木马、垃圾邮件，钓鱼式攻击，广告和流氓软件。设备允许管理员创建60个独立的安全分区，不同的分区有不同的策略（包括访问控制规则）。