Fortinet防火墙产品WEB易用性分析报告

Fortinet防火墙产品WEB 易用性分析报告
作者：车永龙
部门：联想网御新技术研究所
日期：2009-11-17
第一部分FortiGate产品介绍
FortiGate系列安全网关产品简介：
Fortinet的屡获殊荣的FortiGate系列，是采用ASIC加速的UTM解决方案，可以有效地防御网络层和容层的攻击。

FortiGate解决方案能够发现和消除多层的攻击，比如病毒、蠕虫、入侵、以及Web恶意容等等实时的应用，而不会导致网络性能下降。

它所涉及到的全面的安全体系是涵盖防病毒/反垃圾、防火墙、VPN、入侵检测和防御、反垃圾和流量优化。

除了FortiGate以外，Fortinet 还提供FortiMail这样的安全的解决方案，和终端、智能手机安全的FortiClient。

FortiManager和FortiAnalyzer可以实现集中的管理、日志和报表等功能。

FortiGuard升级服务是由Fortinet的专业团队进行维护和升级的，它为新发现和爆发的病毒提供及时、高效的解决方案。

飞塔系列安全网关产品的主要功能包括：
第二部分飞塔防火墙产品易用性分析
本文将以飞塔防火墙的WEB配置为蓝本，以典型模块为单位将该产品跟我司KingGuard产品在WEB易用性方面进行详尽的比较，以期在对比中挖掘出友商产品的WEB 易用性优点，供研发人员借鉴。

第一节防火墙模块WEB UI易用性分析
1 特性简介
防火墙模块其实是各个厂商公共的模块，包含的模块其实也较为固定，一般分为，包过滤防火墙，状态防火墙，NAT，诞生于防火墙却衍生为公共模块的访问控制列表，还有IP-MAC绑定等。

飞塔防火墙菜单下包括了资源定义，防火墙策略，虚拟ip（NAT）及保护容表。

以上两图是分别从飞塔跟我司的设备WEB界面上截取的防火墙模块菜单。

具体的分析将在下文中详细阐述。

2 各模块WEB易用性分析
2.1策略（对应我司防火墙策略，也是所谓的五元组包过滤）
该模块大家叫法不一其实就是所谓的五元组包过滤。

跟状态防火墙对立。

飞塔防火墙策略web配置
友商易用性分析：
（1）策略『新建』采用下拉菜单，可以新建策略、标题。

（2）右边策略操作部分除了『删除』，『编辑』外增加了『插入策略』和『移动』选项。

（3）右上角有一个『列设置』，可以根据需要按需进行选择在页面上显示
再来看看部具体的策略配置：
友商易用性分析：
（1）从配置可以看出飞塔的防火墙策略并不是跟访问控制列表关联的。

而是先定义资源（地址、时间、服务、虚拟ip）然后直接以下拉菜单的方式进行选择。

（2）每一个下拉菜单不仅可选，而且可以新建，而不需要退出页面反复操作。

（3）模式选择，不仅包括accept，drop。

而是从数据转发的角度出发将对报文的处理分解为：ACCEPT(放行)，DENY（丢弃），IPSEC/SSL-VPN（加密）三种。

（4）另外一个有点依然是功能单一，不繁琐。

而我司设备防火墙策略有点杂。

2.2 地址/服务/时间表（对应我司的资源定义）
通过分析发现飞塔好像并不存在访问控制列表的概念。

而完全是分散的直接定义地址/服务/时间表等资源，然后在防火墙策略里直接引用即可。

所以飞塔将这些模块以二级菜单的方式放在了防火墙下。

友商易用性分析：
从上面的分析可以看出，由于对防火墙的设计不同所以附属关系也不同，所以都合理，没有什么可比性。

但是从我们的角度来看我们的资源定义是正确的。

2.3虚拟IP（地址转换（DNAT））
友商易用性分析：
（1）飞塔将snat也同样放入了防火墙策略之中。

然后独立出一个叫虚拟IP的模块，通过上述的配置我们也可以看出其实所谓的虚拟IP就是静态NAT及DNAT（服务器方式的NAT）的统称。

（2）如果页面涉及到的东西过多，那么可以通过如下的方式进行分解，这样一来条例性强了。

2.4 保护容表
还有一个地方需要说明一下的是，飞塔在防火墙下有一个『保护容表』，可以清楚的看到当前的各种策略可以通过“勾选”，“下拉菜单”等方式直接对防病毒，容过滤，深度防护等直接简单配置，非常好！
友商易用性分析：
这个『保护容表』非常的好，通过折叠式下拉菜单配合勾选等操作方式很轻松的对『防病毒』、『WEB过滤』、『垃圾过滤』、『入侵防护』、『容存档』、『IM/P2P』等进行配置。

下面是具体的配置，大家应该有所感触。

第三节虚拟专网VPN模块WEB UI易用性分析
1 特性简介
可以说现在的防火墙产品都包括了丰富的VPN功能，总的分析来说有IPSEC VPN,L2TP,PPTP,GRE及SSL-VPN。

当然使用环境也不尽相同。

一般LAN-LAN环境下IPSEC结合GRE获得了广泛的使用，L2TP及PPTP给拨号连接提供了方便，SSL-VPN为移动办公带来了安全春天。

那么今天分析的这款飞塔的防火墙产品VPN部分包含了其中的三种。

2 各模块WEB易用性分析2.1 IPSEC模块
从上面的比较可以看出一下几点：
（1）比较可知飞塔防火墙IPSEC功能跟我司基本一致。

（2）唯一不同的是我们分为策略配置及隧道配置，飞塔用两个阶段便定义完毕。

（3）通过对飞塔IPSEC的配置发现它的IKE方式第一阶段及第二阶段会采用下拉菜单方式，选择相应的配置项，便会在原有的配置界
面上出现变化来配置。

具体的请看下图：
如下图，远程网关有三种选择，如果选择连接用户，相应的页面
就会发生变化。

2.2 PPTP模块
飞塔PPTP配置
友商易用性分析：因为PPTP较为简单，所以PPTP的配置大家都比较简单。

2.3SSL-VPN
飞塔防火墙VPN包括了SSL-VPN功能，而我司没有所以不进行比较。

第三部分飞塔防火墙产品易用性分析总结
第二部分详细分析比较了飞塔防火墙WEB配置跟我司相关配置易用性优缺点，这些方面也是经过了详细的分析之后的一个较为直观的比较，下面总结一下飞塔防火墙产品在
WEB易用性方面的优点：
1.飞塔防火墙规则顺序强相关策略也设置了『移动』及『插
入』操作键。

且有一个『列设置』按钮。

可以定制在WEB
显示的容及顺序。

（如策略配置界面）
2.飞塔防火墙单模块多功能采用一个页面，但是在页面顶部
部署不同功能，不用切换界面便可轻松配置。

另外根据选
择项会在当前界面基础上推出不同的配置项。

很方便。

（如
IPSEC配置界面）
3.飞塔防火墙产品最大的优点在于那个『保护容表』，作为防
火墙的一部分，但是却囊括了防病毒，入侵防护，WEB过
滤，反垃圾，IM/P2P&VOIP等配置，且配置全部是“勾选”
和“下拉菜单式选择”。

4.飞塔防火墙有一点需要注意的是，防火墙策略并非基于访
问控制列表，而是直接跟相关资源关联，这样似乎模块耦
合性上要好点。

但是逻辑性不太强。

说明：以上配置请登录https://211.103.135.203/进行体验。

用户名：administrator。

密码：administrator。