《Fortinet防火墙产品WEB易用性分析报告.docx》由会员分享,可在线阅读,更多相关《Fortinet防火墙产品WEB易用性分析报告.docx(18页珍藏版)》请在三一文库上搜索。
1、Fortinet防火墙产品WEB易用性分析报告作者:车永龙部门:联想网御新技术研究所 日期:2009-11-17第一部分FortiGate产品介绍FortiGate系列安全网关产品简介:Fortinet的屡获殊荣的FortiGate系列,是采用ASIC加速的UT懈决方案,可 以有效地防御网络层和容层的攻击。FortiGate解决方案能够发现和消除多层的攻击, 比如病毒、蠕虫、入侵、以及We恶意容等等实时的应用,而不会导致网络性能下 降。它所涉及到的全面的安全体系是涵盖防病毒/反垃圾、防火墙、VPN入侵检测和防御、反垃圾和流量优化。除了 FortiGate以外,Fortinet还提 供Forti
2、Mail这样的安全的解决方案,和终端、智能手机安全的 FortiClient 。FortiManager和FortiAnalyzer可以实现集中的管理、日 志和 报表等功能。FortiGuard升级服务是由Fortinet的专业团队进行维护和升级的,它为 新发现和爆发的病毒提供及时、高效的解决方案。飞塔系列安全网关产品的主要功能包括:DHCP国商;MS*粤虐拉琴阿 Q谁直用尸*粤病歪松查国Q人慢肺护*尊Ffeb过溥器EQ反境圾卿件+ 尊 I 叭 P2P & VoIP压Q日吉与摇肯第二部分飞塔防火墙产品易用性分析本文将以飞塔防火墙的WEB配置为蓝本,以典型模块为单位将该产品跟我司KingGuar
3、d产品在WEB易用性方面进行详尽的比较,以期在对比中挖掘出友商产品的WEB易用性优点,供研发人员借鉴。第一节防火墙模块WEB UI易用性分析1特性简介防火墙模块其实是各个厂商公共的模块,包含的模块其实也较为固定,一般分为,包 过滤防火墙,状态防火墙,NAT诞生于防火墙却衍生为公共模块的访问控制列表,还有 IP-MAC绑定等。飞塔防火墙菜单下包括了资源定义,防火墙策略,虚拟ip ( NAT及 保护容表。肪火墙安全业易参教包分类DNAT第略防火墙黄略名单二层协慎地址那定本地服螯服蓼探测A连接数扭制A应用代理以上两图是分别从飞塔跟我司的设备WEB界面上截取的防火墙模块菜单。具体的分析将在下文中详细阐
4、述2各模块WEB易用性分析2.1 策略(对应我司防火墙策略,也是所谓的五元组包过滤)该模块大家叫法不一其实就是所谓的五元组包过滤。跟状态防火墙对立。K dm -| IMVI IIIr;.日 drnK) - T chnii 孑 i .7 11 )仃jewj -Hv wnli , ton IlfHlmmE -mrl El)YMI7IMU riflitTfi-V-rtT4 1吕9JWrACCEPT1 施MmniY mtongri*GCFT,工ilwar “MUACCZFTAH8JI,mrBWZrtPTn右四1母 d砂AerA-s- V/ACCEPT圭v V m J柜飞塔防火墙策略web配置 WA.i
5、S属师Ml*亦EAtS 伽乂跑HUt创示 U理剧A勉如A刑卜卜 iffirr; if1卜石用诅用A曰户*用A岂友商易用性分析:禹号 左 SHLit J:黄抽机一川actiftljii!fc1 J MiJAJ.Gikl4 Kijni tcfl H-tTU*!)1 5 M TSil 百 &dliriLtfl T目的* D* Sn LiS# I*KIT(1 )策略新建采用下拉菜单,可以新建策略、标题。(2 )右边策略操作部分除了删除,编辑外增加了插入策略和移动选项。(3)右上角有一个列设置,可以根据需要按需进行选择在页面上显示可逸项;目的 yPNiliMU1IE注释记录日志计数按照下面拧序显示;表
6、址容址比表内 态寻地的间务护tt 状序请目时服绿动再来看看部具体的策略配置:苓It怕出惨耐口庖码噬虻I应旷地址占7手TIjlwa?G* f?SJANV71林 I曲工门(iTJAT5&ePHjejtL保护内巨点P1话绘-帮呈摇同订涯即LIUliEffJPIftPrl1蹙吠境策略Fixcf火中国版友商易用性分析:回区I(1)从配置可以看出飞塔的防火墙策略并不是跟访问控制列表关联的。而是先定义资源(地址、时 间、服务、虚拟ip)然后直接以下拉菜单的方式进行选择。(2)每一个下拉菜单不仅可选,而且可以新建,而不需要退出页面反复操作。 墉辑输出策略源接口怎源地址 目的接口厄 目的地址 时间表服务 模式(
7、3)模式选择,不仅包括accept drop。而是从数据转发的角度出发将对报文的处理分解为:ACCEPT 放行),DENY (丢弃),IPSEC/SSL-VPN (加密)三种。ACCEPTDENYIPSEC SSL-VPN(4 )另外一个有点依然是功能单一,不繁琐。而我司设备防火墙策略有点杂。2.2 地址/服务/时间表(对应我司的资源定义)通过分析发现飞塔好像并不存在访问控制列表的概念。而完全是分散的直接定义 地址/服务/时间表等资源,然后在防火墙策略里直接引用即可。所以飞塔将这些模块以二 级菜单的方式放在了防火墙下。鸵就怎T&J5B.BFFV,BhdUj=3Ti组.JTnm 4UA*.meM
8、ltJ air kJ* Ml 1 Mw Ifli 里*stfrpnLl血科S SC MWE。出IDJA 0MIS0 1 本吠0 -1附03lblQd14M fK 1 4TIHM,INA01Itlh9IK1 TM$06Lit- 13poSn29S1 TM* B-IAr-i sEHUS3ac iq Fl aAc q i a*iiirTO1 ,够 W * FW3 友商易用性分析:从上面的分析可以看出,由于对防火墙的设计不同所以附属关系也不同,所以都合 理,没有什么可比性。但是从我们的角度来看我们的资源定义是正确的。2.3 虚拟IP (地址转换(DNAT)V4| ARJK蜒口 暑誓 WHriilL*M
9、EUiani- THA,OftKH负堆打员ULUDDODQ聒比堵DDHAT炙瞽目朗摊址昱苦后刚番崔匚: dbibUIDL H 亦“11垸1 j工殂队92/255. 255鬲.漳1: 1.13.ESS. 91 a55. 55. SEE.S5ICitlS6.2sg1C157 K9涕 JIDDJkT现制积jJT/JT 晞刃1二1E % I齐杆10友商易用性分析:(1)飞塔将snat也同样放入了防火墙策略之中。然后独立出一个叫虚拟IP的模块,通过上述的配置我们也可以看出其实所谓的虚拟IP就是静态NAT及DNAT (服务器方式的NAT的统称。(2)如果页面涉及到的东西过多,那么可以通过如下的方式进行分解
10、,这样一来 条例性强了。2.4 保护容表还有一个地方需要说明一下的是,飞塔在防火墙下有一个保护容表,可以清楚的 看到当前的各种策略可以通过“勾选”,“下拉菜单”等方式直接对防病毒,容过 滤,深度防护等直接简单配置,非常好!fUIHpTt.Lt*华普相用户q叮入* w.-bjtiaa 一仃反坟抵4U保,内容 内喜表名临.birdI违跖: * 埠 * .内 *可也 .IN / PZP .V。* 保H*友商易用性分析:*5 修Krmit -)oi 11 1OXD fT表/王作上,0S w“k0”廿“ wftRM44 QmmCode*X” Ap*ft r li节E1H口口 mean M 口口口叁崖i
11、ilQ ”10HMT?iH bvlb一E 口这个保护容表非常的好,通过折叠式下拉菜单配合勾选等操作方式很轻松的对 防病毒、WEB过滤、垃圾过滤、入侵防护、容存档、IM/P2P 等进行配置。下面是具体的配置,大家应该有所感触。第三节虚拟专网VPN模块/OUI易用性分析1特性简介可以说现在的防火墙产品都包括了丰富的VPN功能,总的分析来说有IPSEC VPN,L2TP,PPTP,GR及SSL-VPN当然使用环境也不尽相同。一般LAN-LAN八境 下 IPSEC结合GRE获得了广泛的使用,L2Tp及PPTP合拨号连接提供了方便,SSL- VPN八移动办公带来了安全春天。那么今天分析的这款飞塔的防火墙
12、产品VPN部分包含了 其中的三种。2各模块WEB易用性分析2.1 IPSEC 模块 w*ftfiwain(XAuth. MAT 算型网- LU JiW?- /yAJS dt:叶办商策略名称;(1八0字母数宇,下划线组合)*对话类型;网黄QAp端 Lptfi 址:O 城名:l.iililttLII*模式:主模式O哥蛮模式*认证方式:预共李密钥O证书越*预艾豆密钥.备注:高朝选顶阶段一加密算法:验证霍去:jndB窖钥周期:E3000C 3500-100000) 本地 ID:班m 口掠送保活信息间隔;-1。,帚活信息超时次数:L 一()呃 O1 2 OE血穿越:口阶段二璘劭讼加密算法 认证章袪一封装
13、方式一一*层 / esp vJdeshmac jnd6 Y一隧道模:戒#一|钥周期;秒数:P&QQ 1( 12D0-28eX )字节数;110000 1( 1X0-100000 )讹 0: O1 2 Os抗重放; rrs 从上面的比较可以看出一下几点:(1) 比较可知飞塔防火墙IPSEC功能跟我司基本一致。(2) 唯一不同的是我们分为策略配置及隧道配置,飞塔用两个阶段便定义完毕。(3) 通过对飞塔IPSEC的配置发现它的IKE方式第一阶段及第二阶段会采 用下拉菜单方式,选择相应的配置项,便会在原有的配置界面上出现 变化来配置。具体的请看下图: 如下图,远程网关有三种选择,如果选择连接用户,相应
14、的页面就会 发生变化。晰t洌砒碑区喘几*1PM*; rtiH怀D昨自卸式? .龙1匚皆)讪im :耳暮削LJM班泅空NV(Xjlutt k:TEe DPZIName:Fttisndm?l。申艮 7 冲疵.0到曲声忙D事玮i二增邑偶刖J门直讪,冲 切EMAT于 拓 QC。曲;(EHrS2.2 PPTP 模块S&PPTPAi吕用0禁用PPTP应用飞塔PPTP配置友商易用性分析:因为PPTP较为简单,所以PPTP的配置大家都比较简单。2.3 SSL-VPN飞塔防火墙VPN包括了 SSL-VPN功能,而我司没有所以不进行比较。第三部分飞塔防火墙产品易用性分析总结第二部分详细分析比较了飞塔防火墙WEB配
15、置跟我司相关配置易用性优缺点,这些方面也是经过了详细的分析之后的一个较为直观的比较,下面总结一下飞塔防火墙产品在WEB易用性方面的优点:1. 飞塔防火墙规则顺序强相关策略也设置了移动及插 入操作键。且有一个列设置按钮。可以定制在WEB显示的容 及顺序。(如策略配置界面)2. 飞塔防火墙单模块多功能采用一个页面,但是在页面顶部部署不同功能,不用切换界面便可轻松配置。另外根据选 择项会在 当前界面基础上推出不同的配置项。很方便。(如IPSEC配置 界面)3. 飞塔防火墙产品最大的优点在于那个保护容表,作为防火墙的一部分,但是却囊括了防病毒,入侵防护,WEB过滤,反垃圾,IM/P2P&V0IP等配置,且配置全部是“勾选”和 “下拉菜单式选择”。4. 飞塔防火墙有一点需要注意的是,防火墙策略并非基于访问控制列表,而是直接跟相关资源关联,这样似乎模块耦合性上要 好点。但是逻辑性不太强。administrator。密说明:以上配置请登录https:211.103.135.203/进行体验。用户名: 码:administrator。