Fortinet防火墙产品WEB易用性分析报告.doc

1、 Fortinet防火墙产品WEB易用性分析报告 作者：车永龙 部门：联想网御新技术研究所 日期：2009-11-17 第一部分 FortiGate产品介绍 FortiGate系列安全网关产品简介： Fortinet的屡获殊荣的FortiGate系列，是采用ASIC加速的UTM解决方案，可以有效地防御网络层和内容层的攻击。FortiGate解 决方

2、案能够发现和消除多层的攻击，比如病毒、蠕虫、入侵、以及Web恶意内容等等实时的应用，而不会导致网络性能下降。它所涉及到的全面的安全体系是涵盖 防病毒/反垃圾邮件、防火墙、VPN、入侵检测和防御、反垃圾邮件和流量优化。除了FortiGate以外，Fortinet还提供FortiMail这 样的邮件安全的解决方案，和终端、智能手机安全的FortiClient。FortiManager和FortiAnalyzer可以实现集中的管理、日 志和报表等功能。FortiGuard升级服务是由Fortinet的专业团队进行维护和升级的，它为新发现和爆发的病毒提供及时、高效的解决方案。 飞塔系列安全网

3、关产品的主要功能包括： 第二部分 飞塔防火墙产品易用性分析 本文将以飞塔防火墙的WEB配置为蓝本，以典型模块为单位将该产品跟我司KingGuard产品在WEB易用性方面进行详尽的比较，以期在对比中挖掘出友商产品的WEB易用性优点，供研发人员借鉴。 第一节 防火墙模块WEB UI易用性分析 1  特性简介 防火墙模块其实是各个厂商公共的模块，包含的模块其实也较为固定，一般分为，包过滤防火墙，状态防火墙，NAT，诞生于防火墙却衍生为公共模块的访问控制列表，还有IP-MAC绑定等。飞塔防火墙菜单下包括了资源定义，防火墙策略，虚拟ip（NAT）及保

4、护内容表。 以上两图是分别从飞塔跟我司的设备WEB界面上截取的防火墙模块菜单。 具体的分析将在下文中详细阐述。 2  各模块WEB易用性分析 2.1 策略（对应我司防火墙策略，也是所谓的五元组包过滤） 该模块大家叫法不一其实就是所谓的五元组包过滤。跟状态防火墙对立。 飞塔防火墙策略web配置 友商易用性分析： （1）策略『新建』采用下拉菜单，可以新建策略、标题。 （2）右边策略操作部分除了『删除』，『编辑』外增加了『插入策略』和『移动』选项。 （3）右上角有一个『列设置』，可以根据需要按

5、需进行选择在页面上显示 再来看看内部具体的策略配置： 友商易用性分析： （1）从配置可以看出飞塔的防火墙策略并不是跟访问控制列表关联的。而是先定义资源（地址、时间、服务、虚拟ip）然后直接以下拉菜单的方式进行选择。 （2）每一个下拉菜单不仅可选，而且可以新建，而不需要退出页面反复操作。 （3）模式选择，不仅包括accept，drop。而是从数据转发的角度出发将对报文的处理分解为：ACCEPT(放行)，DENY（丢弃），IPSEC/SSL-VPN（加密）三种。 （4）另外一个有点依然是功能单一，不繁琐。而我司设备防火墙策略有点

6、杂。 2.2  地址/服务/时间表（对应我司的资源定义） 通过分析发现飞塔好像并不存在访问控制列表的概念。而完全是分散的直接定义地址/服务/时间表等资源，然后在防火墙策略里直接引用即可。所以飞塔将这些模块以二级菜单的方式放在了防火墙下。 友商易用性分析： 从上面的分析可以看出，由于对防火墙的设计不同所以附属关系也不同，所以都合理，没有什么可比性。但是从我们的角度来看我们的资源定义是正确的。 2.3 虚拟IP（地址转换（DNAT）） 友商易用性分析： （1）飞塔将snat也同样放入了防火墙策略之中。然后独立出一个叫虚拟IP的模块，通过上述的配置我们也可以看

7、出其实所谓的虚拟IP就是静态NAT及DNAT（服务器方式的NAT）的统称。 （2）如果页面涉及到的东西过多，那么可以通过如下的方式进行分解，这样一来条例性强了。 2.4 保护内容表 还有一个地方需要说明一下的是，飞塔在防火墙下有一个『保护内容表』，可以清楚的看到当前的各种策略可以通过“勾选”，“下拉菜单”等方式直接对防病毒，内容过滤，深度防护等直接简单配置，非常好！ 友商易用性分析： 这个『保护内容表』非常的好，通过折叠式下拉菜单配合勾选等操作方式很轻松的对『防病毒』、『WEB过滤』、『垃圾过滤』、『入侵防护』、『内容存档』、『IM/P2P』等进行配置。下面是具体的配置，大家应该

8、有所感触。 第三节 虚拟专网VPN模块WEB UI易用性分析 1  特性简介 可以说现在的防火墙产品都包括了丰富的VPN功能，总的分析来说有IPSEC VPN,L2TP,PPTP,GRE及SSL-VPN。当然使用环境也不尽相同。一般LAN-LAN环境下IPSEC结合GRE获得了广泛的使用，L2TP及PPTP给拨号连接提供了方便，SSL-VPN为移动办公带来了安全春天。那么今天分析的这款飞塔的防火墙产品VPN部分包含了其中的三种。 2  各模块WEB易用性分析 2.1 IPSEC模块 从上面的比较可以看出一下几点： （1） 比较

9、可知飞塔防火墙IPSEC功能跟我司基本一致。 （2） 唯一不同的是我们分为策略配置及隧道配置，飞塔用两个阶段便定义完毕。 （3） 通过对飞塔IPSEC的配置发现它的IKE方式第一阶段及第二阶段会采用下拉菜单方式，选择相应的配置项，便会在原有的配置界面上出现变化来配置。具体的请看下图： 如下图，远程网关有三种选择，如果选择连接用户，相应的页面就会发生变化。 2.2 PPTP模块 飞塔PPTP配置 友商易用性分析：因为PPTP较为简单，所以PPTP的配置大家都比较简单。 2.3 SSL-VPN 飞塔防火墙VPN包括了SSL-VPN功能，而我司没

10、有所以不进行比较。 第三部分 飞塔防火墙产品易用性分析总结 第二部分详细分析比较了飞塔防火墙WEB配置跟我司相关配置易用性优缺点，这些方面也是经过了详细的分析之后的一个较为直观的比较，下面总结一下飞塔防火墙产品在WEB易用性方面的优点： 1. 飞塔防火墙规则顺序强相关策略也设置了『移动』及『插入』操作键。且有一个『列设置』按钮。可以定制在WEB显示的内容及顺序。（如策略配置界面） 2. 飞塔防火墙单模块多功能采用一个页面，但是在页面顶部部署不同功能，不用切换界面便可轻松配置。另外根据选择项会在当前界面基础上推出不同的配置项。很方便。（如IPSEC配置界面） 3. 飞塔防火墙产品最大的优点在于那个『保护内容表』，作为防火墙的一部分，但是却囊括了防病毒，入侵防护，WEB过滤，反垃圾邮件，IM/P2P&VOIP等配置，且配置全部是“勾选”和“下拉菜单式选择”。 4. 飞塔防火墙有一点需要注意的是，防火墙策略并非基于访问控制列表，而是直接跟相关资源关联，这样似乎模块耦合性上要好点。但是逻辑性不太强。 说明：以上配置请登录https://211.103.135.203/进行体验。用户名：administrator。密码：administrator。