作為公司企業安全規程中的重要部分,隨著越來越多的公司遷移到雲端和軟件定義的網絡上,防火牆甚至變得愈加重要了。
防火牆,是在預設安全參數基礎上,控制和監視入站/出站網絡流量的網絡安全系統,是架設在安全的內部網絡和不那麼安全的外部網絡之間的屏障。
企業科技眾包測評網站 IT Central Station 的企業用戶在線評論表明:市場上四大頂級防火牆解決方案是飛塔FortiGate、思科ASA、守護使(Sophos) UTM和 Palo Alto Networks 的野火(WildFire)。
不過,對於這幾款工具,企業用戶到底是怎麼想的呢?以下就是用戶對其中幾個最具特性的心聲表露,附帶一點點對廠商愛之深責之切的提升需求。
飛塔FortiGate
亮點:
策略控制、Web過濾和應用過濾工作得很順暢。Windows系統上用Web控制檯進行控制和跟蹤很爽。我覺得它的服務質量比Checkpoint防火牆更好。
——Manan P.,技術服務公司網絡工程師
吞吐量很棒。活躍集群很強大,一個集群可以囊括3到32個單元。
——Adithyo W.,技術服務公司網絡安全基礎設施技術專家
這款產品的多種功能我都在用,不過最有價值的是:SSL VPN、Web過濾、顯式代理、入侵防禦系統(IPS)、應用控制和路由。
——Zain R.,技術服務公司高級信息安全工程師
槽點:
這款產品很好用,就是許可費用可以再低點。
——Marcin W.,技術服務公司高級網絡運營工程師
Web管理界面應該在多種瀏覽器上表現更穩定,更具功能性。另外,可以再加一個“診斷嗅探器”之類的插件。
—— Achilleas G.,通信服務提供商IP高級工程師
我希望帶寬管理和流量限制能有所加強。
——Mohammed A.,能源公司IT網絡工程師
思科ASA
亮點:
阻擋了所有由外而內的流量,只允許指定互聯網流量進入。VPN功能非常有用,能讓我們以最簡單的方式創建遠程訪問和VPN隧道。
——Rizwan S.,技術服務公司網絡安全顧問
這是一個將防火牆和VPN結合到一個設備中的超棒解決方案,而且還帶有設計良好的圖形界面自適應安全設備管理器(GUI- ASDM).
——Bratislav V.,軟件研發公司系統/網絡管理員
槽點:
配置/管理界面比較複雜,讓人迷惑。技術文檔很少,在具體實現的時候經常沒有完整的文檔。
——SecurityArch819,零售商全球安全架構/邊界系統管理/活動文檔和系統管理員
ASA在第四到第七層上還有改進空間。我希望它加入特定應用控制,比如針對Facebook、Gmail的控制等。
——Jason B.,技術服務公司高級網絡架構師
他們應該讓ASA可以通過Web進行管理而不是用ASDM,透明模式也需要大幅改進。
——Bagus P.,技術服務公司安全工程師
守護使UTM
亮點:
有價值的特性包括:守護使遠程訪問VPN、基於國家的防火牆、Web應用防火牆、瀏覽器便捷訪問和報告。
——Sanket D.,技術服務公司創始人
Web過濾和ATP(高級威脅防護)很好用,集成WAF(Web應用防火牆)能讓管理員不用花費上千沒有就達到無縫防護HTTP/S服務的目的。
——Juan S.,技術服務公司創始人兼CEO
有價值的特性包括:可靠性、可用性、一些完全達到目標的功能、完美支持,以及可以接觸到內部的可能性。
槽點:
我希望互聯網故障備援能更好點兒。目前的情況是,當我們的WAN1發生故障時,要花費數分鐘才能由WAN2接管互聯網流量,而且還有很多其他東西需要我手動轉接到其他WAN上才能繼續工作。
——Jeff B.,法務公司網絡工程師
這東西的故障備援和負載平衡功能太複雜了,如果能提供一些過程簡化和平滑可能會有所幫助。
——David D.,技術服務公司CEO兼技術專家
軟件設備高可用性(HA)需要加強,因為一旦部署在ESXi/Hyper-V虛擬機上,HA 就不穩定了。另外,Web應用防火牆只允許用80和443端口,要是能用其他端口,我覺得應該會更受歡迎。
——Armold B.,通信服務提供商IT/電信專家
Palo Alto Networks 野火
亮點:
能做內部沙盒檢測,還能直接集成到 Palo Alto 下一代防火牆(NGFW)中。沙盒檢出的惡意軟件信息可以直接更新到NGFW,並添加進 Palo Alto Networks NGFW 的惡意軟件簽名庫。
——Saia647,技術服務公司IT安全工程師
它的WebUI(Web用戶界面)是我用過的防火牆中最好的之一。一眼看去很簡單,但能提供很多選擇供人保證通過設備的所有流量的安全。
——Jes's A.,技術服務公司售前技術顧問
應用ID、用戶ID、部署簡易性、可用性、類似SP3引擎的過濾機制。
——Girish V.,通信服務提供商高級服務交付工程師
槽點:
對多種不同協議的檢測(不只是HTTP/FTP),能檢測更多文件類型,將其用於支持產品的信息反饋給社區。
——Eric M.,金融服務公司首席信息安全官
希望有個IPSec VPN的創建嚮導。網絡行為圖示也需要加強。
——Jes's A.,技術服務公司售前技術顧問
IP服務級別協議(SLA)跟蹤、通用路由封裝隧道(GRE tunnel)支持。我覺得這倆是管道的主要改進點。
——Girish V.,通信服務提供商高級服務交付工程師
---
閱讀更多 安全牛 的文章
