Fortinet防火墻產(chǎn)品WEB易用性分析報(bào)告書(shū)

...wd......wd......wd...Fortinet防火墻產(chǎn)品WEB易用性分析報(bào)告車永龍部門：聯(lián)想網(wǎng)御新技術(shù)研究所日期：2009-11-1第一局部FortiGate產(chǎn)品介紹FortiGate系列安全網(wǎng)關(guān)產(chǎn)品簡(jiǎn)介：Fortinet的屢獲殊榮的FortiGate系列，是采用ASIC加速的UTM解決方案，可以有效地防御網(wǎng)絡(luò)層和內(nèi)容層的攻擊。FortiGate解決方案能夠發(fā)現(xiàn)和消除多層的攻擊，比方病毒、蠕蟲(chóng)、入侵、以及Web惡意內(nèi)容等等實(shí)時(shí)的應(yīng)用，而不會(huì)導(dǎo)致網(wǎng)絡(luò)性能下降。它所涉及到的全面的安全體系是涵蓋防病毒/反垃圾郵件、防火墻、VPN、入侵檢測(cè)和防御、反垃圾郵件和流量?jī)?yōu)化。除了FortiGate以外，F(xiàn)ortinet還提供FortiMail這樣的郵件安全的解決方案，和終端、智能手機(jī)安全的FortiClient。FortiManager和FortiAnalyzer可以實(shí)現(xiàn)集中的管理、日志和報(bào)表等功能。FortiGuard升級(jí)服務(wù)是由Fortinet的專業(yè)團(tuán)隊(duì)進(jìn)展維護(hù)和升級(jí)的，它為新發(fā)現(xiàn)和爆發(fā)的病毒提供及時(shí)、高效的解決方案。飛塔系列安全網(wǎng)關(guān)產(chǎn)品的主要功能包括：第二局部飛塔防火墻產(chǎn)品易用性分析本文將以飛塔防火墻的WEB配置為藍(lán)本，以典型模塊為單位將該產(chǎn)品跟我司KingGuard產(chǎn)品在WEB易用性方面進(jìn)展詳盡的比擬，以期在比照中挖掘出友商產(chǎn)品的WEB易用性優(yōu)點(diǎn)，供研發(fā)人員借鑒。第一節(jié)防火墻模塊WEBUI易用性分析1

特性簡(jiǎn)介防火墻模塊其實(shí)是各個(gè)廠商公共的模塊，包含的模塊其實(shí)也較為固定，一般分為，包過(guò)濾防火墻，狀態(tài)防火墻，NAT，誕生于防火墻卻衍生為公共模塊的訪問(wèn)控制列表，還有IP-MAC綁定等。飛塔防火墻菜單下包括了資源定義，防火墻策略，虛擬ip〔NAT〕及保護(hù)內(nèi)容表。以上兩圖是分別從飛塔跟我司的設(shè)備WEB界面上截取的防火墻模塊菜單。具體的分析將在下文中詳細(xì)闡述。2

各模塊WEB易用性分析策略〔對(duì)應(yīng)我司防火墻策略，也是所謂的五元組包過(guò)濾〕該模塊大家叫法不一其實(shí)就是所謂的五元組包過(guò)濾。跟狀態(tài)防火墻對(duì)立。飛塔防火墻策略web配置友商易用性分析：〔1〕策略『新建』采用下拉菜單，可以新建策略、標(biāo)題?！?〕右邊策略操作局部除了『刪除』，『編輯』外增加了『插入策略』和『移動(dòng)』選項(xiàng)?！?〕右上角有一個(gè)『列設(shè)置』，可以根據(jù)需要按需進(jìn)展選擇在頁(yè)面上顯示再來(lái)看看內(nèi)部具體的策略配置：友商易用性分析：〔1〕從配置可以看出飛塔的防火墻策略并不是跟訪問(wèn)控制列表關(guān)聯(lián)的。而是先定義資源〔地址、時(shí)間、服務(wù)、虛擬ip〕然后直接以下拉菜單的方式進(jìn)展選擇?！?〕每一個(gè)下拉菜單不僅可選，而且可以新建，而不需要退出頁(yè)面反復(fù)操作?！?〕模式選擇，不僅包括accept，drop。而是從數(shù)據(jù)轉(zhuǎn)發(fā)的角度出發(fā)將對(duì)報(bào)文的處理分解為：ACCEPT(放行)，DENY〔丟棄〕，IPSEC/SSL-VPN〔加密〕三種?！?〕另外一個(gè)有點(diǎn)依然是功能單一，不繁瑣。而我司設(shè)備防火墻策略有點(diǎn)雜。2.2

地址/服務(wù)/時(shí)間表〔對(duì)應(yīng)我司的資源定義〕通過(guò)分析發(fā)現(xiàn)飛塔好似并不存在訪問(wèn)控制列表的概念。而完全是分散的直接定義地址/服務(wù)/時(shí)間表等資源，然后在防火墻策略里直接引用即可。所以飛塔將這些模塊以二級(jí)菜單的方式放在了防火墻下。友商易用性分析：從上面的分析可以看出，由于對(duì)防火墻的設(shè)計(jì)不同所以附屬關(guān)系也不同，所以都合理，沒(méi)有什么可比性。但是從我們的角度來(lái)看我們的資源定義是正確的。虛擬IP〔地址轉(zhuǎn)換〔DNAT〕〕友商易用性分析：〔1〕飛塔將snat也同樣放入了防火墻策略之中。然后獨(dú)立出一個(gè)叫虛擬IP的模塊，通過(guò)上述的配置我們也可以看出其實(shí)所謂的虛擬IP就是靜態(tài)NAT及DNAT〔服務(wù)器方式的NAT〕的統(tǒng)稱?！?〕如果頁(yè)面涉及到的東西過(guò)多，那么可以通過(guò)如下的方式進(jìn)展分解，這樣一來(lái)?xiàng)l例性強(qiáng)了。2.4保護(hù)內(nèi)容表還有一個(gè)地方需要說(shuō)明一下的是，飛塔在防火墻下有一個(gè)『保護(hù)內(nèi)容表』，可以清楚的看到當(dāng)前的各種策略可以通過(guò)“勾選〞，“下拉菜單〞等方式直接對(duì)防病毒，內(nèi)容過(guò)濾，深度防護(hù)等直接簡(jiǎn)單配置，非常好！友商易用性分析：這個(gè)『保護(hù)內(nèi)容表』非常的好，通過(guò)折疊式下拉菜單配合勾選等操作方式很輕松的對(duì)『防病毒』、『WEB過(guò)濾』、『垃圾過(guò)濾』、『入侵防護(hù)』、『內(nèi)容存檔』、『IM/P2P』等進(jìn)展配置。下面是具體的配置，大家應(yīng)該有所感觸。虛擬專網(wǎng)VPN模塊WEBUI易用性分析1

特性簡(jiǎn)介可以說(shuō)現(xiàn)在的防火墻產(chǎn)品都包括了豐富的VPN功能，總的分析來(lái)說(shuō)有IPSECVPN,L2TP,PPTP,GRE及SSL-VPN。當(dāng)然使用環(huán)境也不盡一樣。一般LAN-LAN環(huán)境下IPSEC結(jié)合GRE獲得了廣泛的使用，L2TP及PPTP給撥號(hào)連接提供了方便，SSL-VPN為移動(dòng)辦公帶來(lái)了安全春天。那么今天分析的這款飛塔的防火墻產(chǎn)品VPN局部包含了其中的三種。2

各模塊WEB易用性分析2.1IPSEC模塊從上面的比擬可以看出一下幾點(diǎn)：比擬可知飛塔防火墻IPSEC功能跟我司根本一致。唯一不同的是我們分為策略配置及隧道配置，飛塔用兩個(gè)階段便定義完畢。通過(guò)對(duì)飛塔IPSEC的配置發(fā)現(xiàn)它的IKE方式第一階段及第二階段會(huì)采用下拉菜單方式，選擇相應(yīng)的配置項(xiàng)，便會(huì)在原有的配置界面上出現(xiàn)變化來(lái)配置。具體的請(qǐng)看以下列圖：如以下列圖，遠(yuǎn)程網(wǎng)關(guān)有三種選擇，如果選擇連接用戶，相應(yīng)的頁(yè)面就會(huì)發(fā)生變化。2.2PPTP模塊飛塔PPTP配置友商易用性分析：因?yàn)镻PTP較為簡(jiǎn)單，所以PPTP的配置大家都比擬簡(jiǎn)單。SSL-VPN飛塔防火墻VPN包括了SSL-VPN功能，而我司沒(méi)有所以不進(jìn)展比擬。第三局部飛塔防火墻產(chǎn)品易用性分析總結(jié)第二局部詳細(xì)分析比擬了飛塔防火墻WEB配置跟我司相關(guān)配置易用性優(yōu)缺點(diǎn)，這些方面也是經(jīng)過(guò)了詳細(xì)的分析之后的一個(gè)較為直觀的比擬，下面總結(jié)一下飛塔防火墻產(chǎn)品在WEB易用性方面的優(yōu)點(diǎn)：飛塔防火墻規(guī)則順序強(qiáng)相關(guān)策略也設(shè)置了『移動(dòng)』及『插入』操作鍵。且有一個(gè)『列設(shè)置』按鈕?？梢远ㄖ圃赪EB顯示的內(nèi)容及順序?！踩绮呗耘渲媒缑妗筹w塔防火墻單模塊多功能采用一個(gè)頁(yè)面，但是在頁(yè)面頂部部署不同功能，不用切換界面便可輕松配置。另外根據(jù)選擇項(xiàng)會(huì)在當(dāng)前界面根基上推出不同的配置項(xiàng)。很方便?！踩鏘PSEC配置界面〕飛塔防火墻產(chǎn)品最大的優(yōu)點(diǎn)在于那個(gè)『保護(hù)內(nèi)容表』，作為防火墻的一局部，但是卻囊括了防病毒，入侵防護(hù)，WEB過(guò)濾，反垃圾郵件，IM/P2P&VOIP等配置，且配置全部是“勾選