12款防火墻比較評(píng)測報(bào)告

1、12 款防火墻比較評(píng)測報(bào)告網(wǎng)絡(luò)世界評(píng)測實(shí)驗(yàn)室作為企業(yè)用戶首選的網(wǎng)絡(luò)安全產(chǎn)品，防火墻一直是用戶和廠商關(guān)注的焦點(diǎn)。 為了能夠?yàn)橛脩魪难刍潄y的產(chǎn)品中選擇出滿足需求的防火墻提供客觀依據(jù)， 網(wǎng)絡(luò)世界評(píng)測實(shí)驗(yàn)室對(duì)目前市場上主流的防火墻產(chǎn)品進(jìn)行了一次比較評(píng)測。網(wǎng)絡(luò)世界評(píng)測實(shí)驗(yàn)室依然本著科學(xué)、客觀公正的原則，不向廠商收取費(fèi) 用，向所有希望參加評(píng)測的廠商開放。我們此次評(píng)測征集的產(chǎn)品包括百兆和千兆防火墻兩個(gè)系列。此次送測產(chǎn)品有 來自國內(nèi)外 12 家廠商的 14 款產(chǎn)品，其中百兆防火墻包括來自安氏互聯(lián)網(wǎng)有限公 司的LinkTrust CyberWall -lOOPro、方正數(shù)碼的方正方御FGFW,聯(lián)想網(wǎng)御2000

2、, NetScreen-208、清華得實(shí) NetST2104、ServGate 公司的 SG300、神州數(shù)碼的 DCFW-1800、天融信網(wǎng)絡(luò)衛(wèi)士 NGFW4000、三星SecuiWall防火墻以及衛(wèi)士通 龍馬的龍馬衛(wèi)士防火墻,千兆防火墻包括北大青鳥 JB-FW1、 NetScreen-5200、 Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墻和北大青鳥 JB-FW1 防火墻性能測試尚未全部完成就自行退出本次比較測試。在我們評(píng)測工 程師的共同努力下,順利完成了對(duì)其他 12 款產(chǎn)品的評(píng)測任務(wù)。測試內(nèi)容主要涵蓋性能、防攻擊能力以及功能三個(gè)方面,這其中包括按照

3、RFC2504、 RFC2647 以及我國標(biāo)準(zhǔn)進(jìn)行的定量測試和定性測試。我們性能測試和 防攻擊能力主要采用 Spirent 公司的 SmartBits 6000B 測試儀作為主要測試設(shè)備, 利用SmartFlow和WebSuite Firewall測試軟件進(jìn)行測試。在測防攻擊能力時(shí)，為 準(zhǔn)確判定被攻擊方收到的包是否是攻擊包,我們還使用 NAI 公司的 Sniffer Pro 軟件進(jìn)行了抓包分析。在功能測試方面,我們的評(píng)測工程師則以第一手的感受告訴讀者防火墻在易 用性、可管理性、VPN、加密認(rèn)證以及日志審計(jì)等多方面功能。最后,我們還要感謝向我們提供測試工具的思博倫通信公司以及 NAI 公司, 同

4、時(shí)也對(duì)那些勇于參加此次防火墻產(chǎn)品公開比較評(píng)測的廠商表示贊賞。一、性能綜述對(duì)于網(wǎng)絡(luò)設(shè)備來說,性能都是率先要考慮的問題。與其他網(wǎng)絡(luò)設(shè)備相比,防 火墻的性能一直被認(rèn)為是影響網(wǎng)絡(luò)性能的瓶頸。如何在啟動(dòng)各項(xiàng)功能的同時(shí)確保 防火墻的高性能對(duì)防火墻來說是巨大的挑戰(zhàn)。在我們測試的過程中,感受最深的一點(diǎn)就是由于防火墻之間體系結(jié)構(gòu)和實(shí)現(xiàn) 方式的巨大差異性，從而也就使得不同防火墻之間的性能差異非常明顯。從防火 墻的硬件體系結(jié)構(gòu)來講，目前主要有三種，一種使用ASIC體系，一種采用網(wǎng)絡(luò) 處理器（NP）,還有一種也是最常見的，采用普通計(jì)算機(jī)體系結(jié)構(gòu)，各種體系結(jié) 構(gòu)對(duì)數(shù)據(jù)包的處理能力有著顯著的差異。防火墻軟件本身的運(yùn)行效率

5、也會(huì)對(duì)性能 產(chǎn)生較大影響，目前防火墻軟件平臺(tái)有的是在開放式系統(tǒng)（如 Linux， OpenBSD） 上進(jìn)行了優(yōu)化，有的使用自己專用的操作系統(tǒng)，還有的根本就沒有操作系統(tǒng)。我 們在進(jìn)行性能測試時(shí)努力地將影響防火墻性能的因素降到最小，測試防火墻性能 時(shí)將防火墻配置為最簡單的方式：路由模式下內(nèi)外網(wǎng)全通。我們此次測試過程中，針對(duì)百兆與千兆防火墻的性能測試項(xiàng)目相同，主要包 括：雙向性能、單向性能、起 NAT 功能后的性能和最大并發(fā)連接數(shù)。雙向性能 測試項(xiàng)目為吞吐量、10%線速下的延遲、吞吐量下的延遲以及幀丟失率；單向性 能測試項(xiàng)目包括吞吐量、10%線速下的延遲；起 NAT 功能后的性能測試包括吞 吐量、1

6、0%線速下的延遲。1百兆防火墻性能解析 作為用戶選擇和衡量防火墻性能最重要的指標(biāo)之一，吞吐量的高低決定了防 火墻在不丟幀的情況下轉(zhuǎn)發(fā)數(shù)據(jù)包的最大速率。在雙向吞吐量中， 64 字節(jié)幀， 安氏領(lǐng)信防火墻表現(xiàn)最為出眾，達(dá)到了 51.96%的線速， NetsScreen-208 也能夠達(dá) 到 44.15% ，在單向吞吐量測試中， 64 字節(jié)幀長 NetScreen-208 防火墻成績已經(jīng)達(dá)到 83.60%，位居第一，其次是方正方御防火墻，結(jié)果為 71.72%。延遲決定了數(shù)據(jù)包通過防火墻的時(shí)間。雙向 10%線速的延遲測試結(jié)果表明， 聯(lián)想網(wǎng)御 2000 與龍馬衛(wèi)士的數(shù)值不分伯仲，名列前茅。幀丟失率決定防火

7、墻在持續(xù)負(fù)載狀態(tài)下應(yīng)該轉(zhuǎn)發(fā)，但由于缺乏資源而無法轉(zhuǎn) 發(fā)的幀的百分比。該指標(biāo)與吞吐量有一定的關(guān)聯(lián)性，吞吐量比較高的防火墻幀丟 失率一般比較低。在測試的 5 種幀長度下， NetScreen-208 在 256、512 和 1518 字節(jié)幀下結(jié)果為 0， 64 字節(jié)幀下結(jié)果為 57.45%。一般來講，防火墻起 NAT 后的性能要比起之前的單向性能略微低一些，因 為啟用 NAT 功能自然要多占用一些系統(tǒng)的資源。安氏領(lǐng)信防火墻與清華得實(shí) NetST 2104防火墻在起NAT功能后64字節(jié)幀的吞吐量比單向吞吐量結(jié)果略高。最大并發(fā)連接數(shù)決定了防火墻能夠同時(shí)支持的并發(fā)用戶數(shù)，這對(duì)于防火墻來 說也是一個(gè)非常有

8、特色也是非常重要的性能指標(biāo)，尤其是在受防火墻保護(hù)的網(wǎng)絡(luò) 向外部網(wǎng)絡(luò)提供Web服務(wù)的情況下。天融信NGFW 4000以100萬的最大并發(fā)連 接數(shù)名列榜首，而龍馬衛(wèi)士防火墻結(jié)果也達(dá)到80萬。我們的抗攻擊能力測試項(xiàng)目主要通過SmartBits 6000B模擬7種主要DoS攻 擊。我們還在防攻擊測試中試圖建立 5 萬個(gè) TCP/HTTP 連接，考察防火墻在啟動(dòng) 防攻擊能力的同時(shí)處理正常連接的能力。Syn Flood 目前是一種最常見的攻擊方式，防火墻對(duì)它的防護(hù)實(shí)現(xiàn)原理也不 相同，比如，安氏領(lǐng)信防火墻與NetScreen-208采用SYN代理的方式，在測試這 兩款防火墻時(shí)我們建立的是50000個(gè)TCP連

9、接背景流，兩者能夠過濾掉所有攻 擊包。SG-300、聯(lián)想網(wǎng)御2000在正常建立TCP/HTTP連接的情況下防住了所有 攻擊包。大多數(shù)防火墻都能夠?qū)murf、Ping of Death和Land-based三種攻擊包 全部都過濾掉。Teardrop攻擊測試將合法的數(shù)據(jù)包拆分成三段數(shù)據(jù)包，其中一段包的偏移量 不正常。對(duì)于這種攻擊，我們通過 Sniffer 獲得的結(jié)果分析防火墻有三種防護(hù)方 法，一種是將三段攻擊包都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩余 的兩段數(shù)據(jù)包組合成正常的數(shù)據(jù)包允許穿過防火墻，還有一種是將第二段丟棄， 另外兩段分別穿過防火墻，這三種方式都能有效防住這種攻擊。實(shí)際測試結(jié)

10、果顯 示方正方御、安氏領(lǐng)信、SG-300、龍馬衛(wèi)士屬于第一種情況，神州數(shù)碼 DCFW-1800、得實(shí) NetST2104、聯(lián)想網(wǎng)御 2000 屬于第二種情況，Netscreen-208 屬于第三種情況。對(duì)于 Ping Sweep 和 Ping Flood 攻擊，所有防火墻都能夠防住這兩種攻擊， SG-300 防火墻過濾掉了所有攻擊包，而方正方御防火墻只通過了 1 個(gè)包。雖然 其余防火墻或多或少地有一些 ping 包通過，但大部分攻擊包都能夠被過濾掉， 這種結(jié)果主要取決于防火墻軟件中設(shè)定的每秒鐘通過的ping包數(shù)量。2.千兆防火墻性能結(jié)果分析由于千兆防火墻主要應(yīng)用于電信級(jí)或者大型的數(shù)據(jù)中心，因此

11、性能在千兆防 火墻中所占的地位要比百兆防火墻更加重要。總的來說，三款千兆防火墻之間的 差異相當(dāng)大，但性能結(jié)果都明顯要高于百兆防火墻。雙向吞吐量測試結(jié)果中， NetScreen-5200 64、 128、 256、 512、 1518字節(jié)幀 結(jié)果分別為 58.99%、 73.05%、 85.55%、 94.53%、 97.27%線速。千兆防火墻的延 遲與百兆防火墻相比降低都十分明顯，NetScreen-5200的雙向10%線速下的延遲 相當(dāng)?shù)停?4字節(jié)幀長僅為4.68 ft，1518字節(jié)幀長的也只有24.94衽。起NAT功 能后， NetScreen-5200 防火墻 64 字節(jié)幀長的吞吐量為

12、62.5%。由于 ServGate SG2000H 不支持路由模式，所有只測了 NAT 結(jié)果，該防火墻在 1518 字節(jié)幀長 達(dá)到了 100%線速。阿姆瑞特F600+起 NAT功能對(duì)其性能影響很小。最大并發(fā)連 接數(shù)的測試結(jié)果表明，NetScreen-5200防火墻達(dá)到100萬。在防攻擊能力測試中，三款千兆防火墻對(duì)于Smurf和Land-based攻擊的防 護(hù)都很好,沒有一個(gè)攻擊包通過防火墻。對(duì)于Ping of Death攻擊，NetScreen-5200 和阿姆瑞特F600+防火墻丟棄了所有的攻擊包,SG2000H防火墻測試時(shí)對(duì)發(fā)送的 45 個(gè)攻擊包，丟棄了后面的兩個(gè)攻擊包，這樣也不會(huì)對(duì)網(wǎng)絡(luò)造

13、成太大的危害。 在防護(hù)Teardrop攻擊時(shí)，F(xiàn)600+防火墻丟棄了所有的攻擊包，ServGate-2000防火 墻只保留了第一個(gè)攻擊包，NetSreen-5200防火墻則保留了第一和第三個(gè)攻擊包, 這三種情況都能夠防護(hù)該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊 測試結(jié)果為 1000 個(gè)攻擊包全都過濾掉。二、功能綜述在我們此次測試防火墻的過程中，感受到了不同防火墻產(chǎn)品之間的千差萬 別，并通過親自配置體會(huì)到防火墻在易用性、管理性以及日志審計(jì)等方面的各自 特色。包過濾、狀態(tài)檢測和應(yīng)用層代理是防火墻主要的三種實(shí)現(xiàn)技術(shù)，從此次參測 的防火墻產(chǎn)品中我們可以明顯地看到狀態(tài)檢測或?qū)?/p>

14、態(tài)檢測與其他兩種技術(shù)混 合在一起是主流的實(shí)現(xiàn)原理。在工作方式方面，大部分防火墻都支持路由模式和橋模式（透明模式），來 自ServGate公司的SG300和SG2000H，其工作方式主要是橋模式和NAT模式, 沒有一般產(chǎn)品所具有的路由模式。天融信NGFW 4000和衛(wèi)士通龍馬的龍馬衛(wèi)士 防火墻還支持混合模式。1百兆防火墻（1）與交換機(jī)走向融合當(dāng)我們拿到要測試的防火墻時(shí)，有一個(gè)非常直觀的感覺是防火墻不再只是傳 統(tǒng)的三個(gè)端口，正在朝向多個(gè)端口方向發(fā)展，帶有 4 個(gè)端口的防火墻非常常見， 我們都知道三個(gè)端口是用來劃分內(nèi)網(wǎng)、外網(wǎng)和 DMZ 區(qū)，那么增加的第 4 個(gè)端口 有什么用呢？不同產(chǎn)品差別很大，但以

15、用作配置管理的為主，安氏的防火墻將該 端口作為與 IDS 互動(dòng)的端口，比較獨(dú)特。像天融信網(wǎng)絡(luò)衛(wèi)士 NGFW4000 則可以 最多擴(kuò)展到 12 個(gè)端口， Netscreen-208 有 8 個(gè)固定端口， Netscreen-5200 則是模 塊化的千兆防火墻，可以插帶 8 個(gè) miniGBIC 1000Base-SX/LX 千兆端口或 24 個(gè) 百兆端口的模塊，這顯示了防火墻與交換機(jī)融合的市場趨勢。對(duì) DHCP 協(xié)議的支持方面，防火墻一般可以作為 DHCP 信息的中繼代理， 安氏領(lǐng)信防火墻、清華得實(shí)NetST2104、天融信NGFW4000都有這個(gè)功能。而 Netscreen-208、 SG30

16、0 還可以作為 DHCP 服務(wù)器和客戶端，這是非常獨(dú)特的地 方。在 VLAN 支持方面， Netscreen 防火墻又一次顯示了強(qiáng)大的實(shí)力。與交換機(jī) 類似， Netscreen-208 支持每個(gè)端口劃分為子端口，每個(gè)子端口屬于不同的 VLAN， 支持802.1Q，并且不同子端口還可以屬于不同區(qū)域。安氏領(lǐng)信、聯(lián)想網(wǎng)御2000、 天融信NGFW4000防火墻則有相應(yīng)選項(xiàng)支持VLAN，主要支持802.1Q和Cisco 的 ISL。（2）管理特色凸現(xiàn)管理功能是一個(gè)產(chǎn)品是否易用的重要標(biāo)志，對(duì)此我們考察了防火墻對(duì)管理員 的權(quán)限設(shè)置、各種管理方式的易用性以及帶寬管理特性。不同的防火墻對(duì)管理員的權(quán)限分級(jí)方式不

17、同，但總的來說，不同的管理員權(quán) 限在保護(hù)防火墻的信息的同時(shí)，通過三權(quán)分立確保了防火墻的管理者職責(zé)分明， 各司其職。方正方御 FGFW 通過實(shí)施域管理權(quán)、策略管理、審計(jì)管理、日志查 看四個(gè)不同權(quán)限對(duì)管理員權(quán)限進(jìn)行限制。目前，對(duì)防火墻的管理一般分為本地管理和遠(yuǎn)程管理兩種方式，具體來說， 主要包括串口命令行、 Telnet、GUI 管理工具以及 Web 管理。總的來講，像 Netscreen-208、神州數(shù)碼防火墻支持命令行、Telnet、GUI管理工具以及Web管 理這幾種方式，非常方便用戶從中選擇自己喜歡的方式。但我們在測試過程中發(fā) 現(xiàn)不少防火墻的命令行比較難懂，對(duì)于很多用戶來說使用會(huì)比較困難，

18、而安氏、 Netscreen-208、天融信、清華得實(shí)防火墻的命令行方式比較簡潔明了，這為喜歡 用命令行進(jìn)行防火墻配置的用戶來說帶來了便捷。當(dāng)然，很多防火墻的CLI命令 功能比較簡單，主要功能還是留給了 GUI 管理軟件，方正、聯(lián)想防火墻是非常 典型的例子。從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web 管理界面給我們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項(xiàng)可以 使用戶輕松配置管理防火墻的各方面，同時(shí)Web管理一般都支持基于SSL加密 的HTTPS方式訪問。當(dāng)然，對(duì)于要集中管理多臺(tái)防火墻來說，GUI管理軟件應(yīng) 該是不錯(cuò)的選擇。聯(lián)想網(wǎng)御2000、

19、天融信、清華得實(shí)、方正方御的GUI管理軟 件安裝和使用都比較容易。帶寬管理正在成為防火墻中必不可少的功能，通過帶寬管理和流量控制在為 用戶提供更好服務(wù)質(zhì)量、防止帶寬浪費(fèi)的同時(shí)也能夠有效防止某些攻擊。此次送 測的9款百兆防火墻都支持帶寬管理。比如神州數(shù)碼DCFW-1800防火墻能夠?qū)?時(shí)檢測用戶流量，對(duì)不同的用戶，每天分配固定的流量，當(dāng)流量達(dá)到時(shí)切斷該用 戶的訪問。龍馬衛(wèi)士防火墻通過支持基于IP和用戶的流量控制實(shí)現(xiàn)對(duì)防火墻各 個(gè)接口的帶寬控制。（3）VPN 和加密認(rèn)證防火墻與VPN的集成是一個(gè)重要發(fā)展方向。此次參測的防火墻中安氏領(lǐng)信 防火墻、方正網(wǎng)御FGFW、Netscreen-208、SG30

20、0、清華得實(shí)NetST 2104、龍馬 衛(wèi)士防火墻這6款防火墻都有VPN功能或VPN模塊。作為構(gòu)建VPN最主要的 協(xié)議IPSec，這6款防火墻都提供了良好的支持。安氏領(lǐng)信防火墻的 VPN 模塊在對(duì)各種協(xié)議和算法的方面支持得非常全面， 包括 DES、3DES、AES、CAST、BLF、RC2/R4 等在內(nèi)的主流加密算法都在該 產(chǎn)品中得到了支持。主要的認(rèn)證算法 MD5 在 6 款防火墻中都得到了較好支持。 不同加密算法與認(rèn)證算法的組合將會(huì)產(chǎn)生不同的算法，如 3DES-MD5 就是 3DES 加密算法和 MD5 算法的組合結(jié)果。安氏和 NetScreen-208 能夠很好地支持這種不 同算法之間的組

21、合。 方正網(wǎng)御、清華得實(shí) NetST2104 和衛(wèi)士通龍馬的龍馬衛(wèi)士 防火墻則以支持國家許可專用加密算法而具有自己的特點(diǎn)。當(dāng)然，加密除了用于 VPN 之外，遠(yuǎn)程管理、遠(yuǎn)程日志等功能通過加密也能夠提升其安全性。（4）在身份認(rèn)證方面，防火墻支持的認(rèn)證方法很重要。安氏領(lǐng)信防火墻支 持本地、RADIUS、SecurelD、NT域、數(shù)字證書、MSCHAP等多種認(rèn)證方式和 標(biāo)準(zhǔn)，這也是所有參測防火墻中支持得比較全的。非常值得一提的是聯(lián)想網(wǎng)御 2000所提供的網(wǎng)御電子鑰匙。帶USB接口的電子鑰匙主要用來實(shí)現(xiàn)管理員身份 認(rèn)證，認(rèn)證過程采用一次性口令（OTP）的協(xié)議SKEY，可以抵抗網(wǎng)絡(luò)竊聽。（5）防御功能 防

22、火墻本身具有一定的防御功能指的是防火墻能夠防止某些攻擊、進(jìn)行內(nèi)容過濾、病毒掃描，使用戶即使沒有入侵檢測產(chǎn)品和防病毒產(chǎn)品的情況下也能夠通 過防火墻獲得一定的防護(hù)能力。在病毒掃描方面，表現(xiàn)最突出的當(dāng)屬聯(lián)想網(wǎng)御 2000，它集成了病毒掃描引 擎，具有防病毒網(wǎng)關(guān)的作用，能夠?qū)崟r(shí)監(jiān)控 HTTP、 FTP、 SMTP 數(shù)據(jù)流，使各 種病毒和惡意文件在途徑防火墻時(shí)就被捕獲。在內(nèi)容過濾方面，大部分防火墻都支持 URL 過濾功能，可有效防止對(duì)某些 URL的訪問。清華得實(shí)NetST2104、安氏防火墻內(nèi)置的內(nèi)容過濾模塊，為用戶提 供對(duì) HTTP、 FTP、 SMTP、 POP3 協(xié)議內(nèi)容過濾，能夠針對(duì)郵件的附件文

23、件類型 進(jìn)行過濾。聯(lián)想網(wǎng)御 2000 還支持郵件內(nèi)容過濾的功能。在防御攻擊方面，Netscreen-208、方正方御、聯(lián)想網(wǎng)御2000、SG300以及安 氏領(lǐng)信防火墻則對(duì)Syn Flood、針對(duì)ICMP的攻擊等多種DoS攻擊方式有相應(yīng)的 設(shè)置選項(xiàng)，用戶可以自主設(shè)置實(shí)現(xiàn)對(duì)這些攻擊的防護(hù)。安氏領(lǐng)信防火墻除了本身 帶有入侵檢測模塊之外，還有一個(gè)專門端口與IDS互動(dòng)。天融信NGFW 4000則 通過 TOPSEC 協(xié)議與其他入侵檢測或防病毒產(chǎn)品系統(tǒng)實(shí)現(xiàn)互動(dòng)，以實(shí)現(xiàn)更強(qiáng)勁 的防攻擊能力。（6）安全特性代理機(jī)制通過阻斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的直接聯(lián)系，保證了內(nèi)部網(wǎng)的拓?fù)浣Y(jié) 構(gòu)等重要信息被限制在代理網(wǎng)關(guān)的內(nèi)側(cè)。

24、參測的百兆防火墻大都能夠支持大多數(shù)應(yīng)用層協(xié)議的代理功能，包括HTTP、 SMTP、POP3 、FTP 等，從而能夠屏蔽某些特殊的命令，并能過濾不安全的內(nèi) 容。NAT 通過隱藏內(nèi)部網(wǎng)絡(luò)地址，使其不必暴露在 Internet 上 從而使外界無法 直接訪問內(nèi)部網(wǎng)絡(luò)設(shè)備，而內(nèi)部網(wǎng)絡(luò)通過NAT以公開的IP地址訪問外部網(wǎng)絡(luò)，從 而可以在一定程度上保護(hù)內(nèi)部網(wǎng)絡(luò)。另一方面，NAT也解決了目前IP地址資源 不足的問題。此次參測的防火墻對(duì)于 NAT 都有較強(qiáng)的支持功能，雖然大家叫的 名稱不同，但主要方式包括一對(duì)一、多對(duì)一 NAT、多對(duì)多NAT以及端口 NAT。（7）高可用性 負(fù)載均衡的功能現(xiàn)在在防火墻身上也開始有

25、所體現(xiàn)， Netscreen-208 支持防火墻之間的負(fù)載分擔(dān)，而其他防火墻則支持服務(wù)器之間的負(fù)載均衡。目前用戶對(duì)于防火墻高可用性的需求越來越強(qiáng)烈。此次參測的 9 款百兆防火 墻都支持雙機(jī)熱備的功能。Netscreen-208可以將8個(gè)端口中設(shè)定一個(gè)端口作為高 可用端口，實(shí)現(xiàn)防火墻之間的 Active-Active 高可用性。（8）日志審計(jì)和警告功能 防火墻日志處理方式主要包括本地和遠(yuǎn)程兩種。但由于防火墻在使用過程中會(huì)產(chǎn)生大量的日志信息，為了在繁多的日志中進(jìn)行查詢和分析，有必要對(duì)這些日 志進(jìn)行審計(jì)和管理，同時(shí)防火墻存儲(chǔ)空間較小，因此單獨(dú)安裝一臺(tái)服務(wù)器用來存 放和審計(jì)管理防火墻的各種日志都非常必

26、要。安氏、 方正防御、 聯(lián)想網(wǎng) 御 2000、 清華得實(shí) NetST2104、 神州數(shù)碼 DCFW-1800、天融信NGFW4000以及龍馬衛(wèi)士防火墻都提供了日志管理軟件實(shí) 現(xiàn)對(duì)日志服務(wù)器的配置和管理，可以利用管理軟件對(duì)日志信息進(jìn)行查詢、統(tǒng)計(jì)和 提供審計(jì)報(bào)表。而 NetScreen-208 支持多種日志服務(wù)器的存儲(chǔ)方式，包括 Internal、 Syslog、 WebTrends、 flash 卡等。當(dāng)日志中監(jiān)測到系統(tǒng)有可疑的行為或網(wǎng)絡(luò)流量超過某個(gè)設(shè)定閾值時(shí)，根據(jù)設(shè) 定的規(guī)則，防火墻應(yīng)該向管理員發(fā)出報(bào)警信號(hào)。安氏、 Netscreen-208 在警告通知 方式方面支持 E-mail、 Sysl

27、og、 SNMP trap 等。而方正方御則支持通過 LogService 消息、E-mai 1、聲音、無線、運(yùn)行報(bào)警程序等方式進(jìn)行報(bào)警。對(duì)日志進(jìn)行分級(jí)和分類將非常有利于日志信息的查詢以及處理。安氏、NetScreen-208、天融信NGFW4000以及衛(wèi)士通龍馬的龍馬衛(wèi)士防火墻支持不同 等級(jí)的日志。龍馬衛(wèi)士防火墻將日志級(jí)別分為調(diào)試信息、消息、警告、錯(cuò)誤、嚴(yán) 重錯(cuò)誤 5 種級(jí)別。 NetScreen-208 則將日志分為負(fù)載日志、事件日志、自我日志 三種，事件日志分為 8 個(gè)不同等級(jí)。（9）優(yōu)秀的文檔很關(guān)鍵大部分防火墻產(chǎn)品都附帶有詳細(xì)的印刷文檔或電子文檔。給我們留下深刻印 象的是聯(lián)想、方正與安

28、氏防火墻的印刷文檔非常精美全面，內(nèi)容涵蓋了主流的防 火墻技術(shù)以及產(chǎn)品的詳細(xì)配置介紹，還舉了很多實(shí)用的例子幫助用戶比較快地配 好防火墻，使用各種功能。得實(shí) NetST 2104防火墻用戶手冊、天融信 NGFW 4000 電子文檔都對(duì)CLI命令進(jìn)行了詳細(xì)解釋，非常有利于那些習(xí)慣使用命令行進(jìn)行配 置的防火墻管理員使用。Netscreen網(wǎng)站上有非常完整的用戶手冊，但缺憾在于 它們?nèi)渴怯⑽牡摹?千兆防火墻此次總共收集到 4 款千兆防火墻產(chǎn)品，但北大青鳥在性能測試尚未完成時(shí)就 自行退出，所以共測試完成了三款千兆防火墻，它們都是來自國外廠商的產(chǎn)品 : NetScreen-5200、阿姆瑞特 F600+和 ServGate SG2000H。NetScreen-5200 是采用 ASIC處理器的代表，而SG2000H則是采用網(wǎng)絡(luò)處理器的例子。從實(shí)現(xiàn)原理來看，三者都主要是基于狀態(tài)檢測技術(shù)，而在工作方式上， NetScreen-5200、阿姆瑞特 F600+主要支持路由模式和橋模式，而ServGateSG2000H 則支持橋模式和 NAT 模式。F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP服務(wù)器、客 戶端或中繼代理。在 VLAN 支持方面， NetScreen-5200 的每個(gè)端口可以設(shè)定不同 子端口，每個(gè)子端