用户对四大顶级防火墙的爱恨交织
作者:星期一, 五月 2, 20160

作为公司企业安全规程中的重要部分,随着越来越多的公司迁移到云端和软件定义的网络上,防火墙甚至变得愈加重要了。

防火墙,是在预设安全参数基础上,控制和监视入站/出站网络流量的网络安全系统,是架设在安全的内部网络和不那么安全的外部网络之间的屏障。

企业科技众包测评网站 IT Central Station 的企业用户在线评论表明:市场上四大顶级防火墙解决方案是飞塔FortiGate、思科ASA、守护使(Sophos) UTM和 Palo Alto Networks 的野火(WildFire)。

不过,对于这几款工具,企业用户到底是怎么想的呢?以下就是用户对其中几个最具特性的心声表露,附带一点点对厂商爱之深责之切的提升需求。

640.webp (2)

飞塔FortiGate

亮点:

策略控制、Web过滤和应用过滤工作得很顺畅。Windows系统上用Web控制台进行控制和跟踪很爽。我觉得它的服务质量比Checkpoint防火墙更好。
——Manan P.,技术服务公司网络工程师

吞吐量很棒。活跃集群很强大,一个集群可以囊括3到32个单元。
——Adithyo W.,技术服务公司网络安全基础设施技术专家

这款产品的多种功能我都在用,不过最有价值的是:SSL VPN、Web过滤、显式代理、入侵防御系统(IPS)、应用控制和路由。
——Zain R.,技术服务公司高级信息安全工程师

槽点:

这款产品很好用,就是许可费用可以再低点。
——Marcin W.,技术服务公司高级网络运营工程师

Web管理界面应该在多种浏览器上表现更稳定,更具功能性。另外,可以再加一个“诊断嗅探器”之类的插件。
—— Achilleas G.,通信服务提供商IP高级工程师

我希望带宽管理和流量限制能有所加强。
——Mohammed A.,能源公司IT网络工程师

思科ASA

亮点:

阻挡了所有由外而内的流量,只允许指定互联网流量进入。VPN功能非常有用,能让我们以最简单的方式创建远程访问和VPN隧道。
——Rizwan S.,技术服务公司网络安全顾问

这是一个将防火墙和VPN结合到一个设备中的超棒解决方案,而且还带有设计良好的图形界面自适应安全设备管理器(GUI- ASDM).
——Bratislav V.,软件研发公司系统/网络管理员

槽点:

配置/管理界面比较复杂,让人迷惑。技术文档很少,在具体实现的时候经常没有完整的文档。
——SecurityArch819,零售商全球安全架构/边界系统管理/活动文档和系统管理员

ASA在第四到第七层上还有改进空间。我希望它加入特定应用控制,比如针对Facebook、Gmail的控制等。
——Jason B.,技术服务公司高级网络架构师

他们应该让ASA可以通过Web进行管理而不是用ASDM,透明模式也需要大幅改进。
——Bagus P.,技术服务公司安全工程师

守护使UTM

亮点:

有价值的特性包括:守护使远程访问VPN、基于国家的防火墙、Web应用防火墙、浏览器便捷访问和报告。
——Sanket D.,技术服务公司创始人

Web过滤和ATP(高级威胁防护)很好用,集成WAF(Web应用防火墙)能让管理员不用花费上千没有就达到无缝防护HTTP/S服务的目的。
——Juan S.,技术服务公司创始人兼CEO

有价值的特性包括:可靠性、可用性、一些完全达到目标的功能、完美支持,以及可以接触到内部的可能性。

槽点:

我希望互联网故障备援能更好点儿。目前的情况是,当我们的WAN1发生故障时,要花费数分钟才能由WAN2接管互联网流量,而且还有很多其他东西需要我手动转接到其他WAN上才能继续工作。
——Jeff B.,法务公司网络工程师

这东西的故障备援和负载平衡功能太复杂了,如果能提供一些过程简化和平滑可能会有所帮助。
——David D.,技术服务公司CEO兼技术专家

软件设备高可用性(HA)需要加强,因为一旦部署在ESXi/Hyper-V虚拟机上,HA 就不稳定了。另外,Web应用防火墙只允许用80和443端口,要是能用其他端口,我觉得应该会更受欢迎。
——Armold B.,通信服务提供商IT/电信专家

Palo Alto Networks 野火

亮点:

能做内部沙盒检测,还能直接集成到 Palo Alto 下一代防火墙(NGFW)中。沙盒检出的恶意软件信息可以直接更新到NGFW,并添加进 Palo Alto Networks NGFW 的恶意软件签名库。
——Saia647,技术服务公司IT安全工程师

它的WebUI(Web用户界面)是我用过的防火墙中最好的之一。一眼看去很简单,但能提供很多选择供人保证通过设备的所有流量的安全。
——Jes’s A.,技术服务公司售前技术顾问

应用ID、用户ID、部署简易性、可用性、类似SP3引擎的过滤机制。
——Girish V.,通信服务提供商高级服务交付工程师

槽点:

对多种不同协议的检测(不只是HTTP/FTP),能检测更多文件类型,将其用于支持产品的信息反馈给社区。
——Eric M.,金融服务公司首席信息安全官

希望有个IPSec VPN的创建向导。网络行为图示也需要加强。
——Jes’s A.,技术服务公司售前技术顾问

IP服务级别协议(SLA)跟踪、通用路由封装隧道(GRE tunnel)支持。我觉得这俩是管道的主要改进点。
——Girish V.,通信服务提供商高级服务交付工程师

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章