12款防火墻比較評測報告

1、12 款防火墻比較評測報告網(wǎng)絡世界評測實驗室作為企業(yè)用戶首選的網(wǎng)絡安全產(chǎn)品，防火墻一直是用戶和廠商關注的焦點。 為了能夠為用戶從眼花繚亂的產(chǎn)品中選擇出滿足需求的防火墻提供客觀依據(jù)， 網(wǎng)絡世界評測實驗室對目前市場上主流的防火墻產(chǎn)品進行了一次比較評測。網(wǎng)絡世界評測實驗室依然本著科學、客觀公正的原則，不向廠商收取費 用，向所有希望參加評測的廠商開放。我們此次評測征集的產(chǎn)品包括百兆和千兆防火墻兩個系列。此次送測產(chǎn)品有 來自國內(nèi)外 12 家廠商的 14 款產(chǎn)品，其中百兆防火墻包括來自安氏互聯(lián)網(wǎng)有限公 司的LinkTrust CyberWall -lOOPro、方正數(shù)碼的方正方御FGFW,聯(lián)想網(wǎng)御2000

2、, NetScreen-208、清華得實 NetST2104、ServGate 公司的 SG300、神州數(shù)碼的 DCFW-1800、天融信網(wǎng)絡衛(wèi)士 NGFW4000、三星SecuiWall防火墻以及衛(wèi)士通 龍馬的龍馬衛(wèi)士防火墻,千兆防火墻包括北大青鳥 JB-FW1、 NetScreen-5200、 Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墻和北大青鳥 JB-FW1 防火墻性能測試尚未全部完成就自行退出本次比較測試。在我們評測工 程師的共同努力下,順利完成了對其他 12 款產(chǎn)品的評測任務。測試內(nèi)容主要涵蓋性能、防攻擊能力以及功能三個方面,這其中包括按照

3、RFC2504、 RFC2647 以及我國標準進行的定量測試和定性測試。我們性能測試和 防攻擊能力主要采用 Spirent 公司的 SmartBits 6000B 測試儀作為主要測試設備, 利用SmartFlow和WebSuite Firewall測試軟件進行測試。在測防攻擊能力時，為 準確判定被攻擊方收到的包是否是攻擊包,我們還使用 NAI 公司的 Sniffer Pro 軟件進行了抓包分析。在功能測試方面,我們的評測工程師則以第一手的感受告訴讀者防火墻在易 用性、可管理性、VPN、加密認證以及日志審計等多方面功能。最后,我們還要感謝向我們提供測試工具的思博倫通信公司以及 NAI 公司, 同

4、時也對那些勇于參加此次防火墻產(chǎn)品公開比較評測的廠商表示贊賞。一、性能綜述對于網(wǎng)絡設備來說,性能都是率先要考慮的問題。與其他網(wǎng)絡設備相比,防 火墻的性能一直被認為是影響網(wǎng)絡性能的瓶頸。如何在啟動各項功能的同時確保 防火墻的高性能對防火墻來說是巨大的挑戰(zhàn)。在我們測試的過程中,感受最深的一點就是由于防火墻之間體系結(jié)構和實現(xiàn) 方式的巨大差異性，從而也就使得不同防火墻之間的性能差異非常明顯。從防火 墻的硬件體系結(jié)構來講，目前主要有三種，一種使用ASIC體系，一種采用網(wǎng)絡 處理器（NP）,還有一種也是最常見的，采用普通計算機體系結(jié)構，各種體系結(jié) 構對數(shù)據(jù)包的處理能力有著顯著的差異。防火墻軟件本身的運行效率

5、也會對性能 產(chǎn)生較大影響，目前防火墻軟件平臺有的是在開放式系統(tǒng)（如 Linux， OpenBSD） 上進行了優(yōu)化，有的使用自己專用的操作系統(tǒng)，還有的根本就沒有操作系統(tǒng)。我 們在進行性能測試時努力地將影響防火墻性能的因素降到最小，測試防火墻性能 時將防火墻配置為最簡單的方式：路由模式下內(nèi)外網(wǎng)全通。我們此次測試過程中，針對百兆與千兆防火墻的性能測試項目相同，主要包 括：雙向性能、單向性能、起 NAT 功能后的性能和最大并發(fā)連接數(shù)。雙向性能 測試項目為吞吐量、10%線速下的延遲、吞吐量下的延遲以及幀丟失率；單向性 能測試項目包括吞吐量、10%線速下的延遲；起 NAT 功能后的性能測試包括吞 吐量、1

6、0%線速下的延遲。1百兆防火墻性能解析 作為用戶選擇和衡量防火墻性能最重要的指標之一，吞吐量的高低決定了防 火墻在不丟幀的情況下轉(zhuǎn)發(fā)數(shù)據(jù)包的最大速率。在雙向吞吐量中， 64 字節(jié)幀， 安氏領信防火墻表現(xiàn)最為出眾，達到了 51.96%的線速， NetsScreen-208 也能夠達 到 44.15% ，在單向吞吐量測試中， 64 字節(jié)幀長 NetScreen-208 防火墻成績已經(jīng)達到 83.60%，位居第一，其次是方正方御防火墻，結(jié)果為 71.72%。延遲決定了數(shù)據(jù)包通過防火墻的時間。雙向 10%線速的延遲測試結(jié)果表明， 聯(lián)想網(wǎng)御 2000 與龍馬衛(wèi)士的數(shù)值不分伯仲，名列前茅。幀丟失率決定防火

7、墻在持續(xù)負載狀態(tài)下應該轉(zhuǎn)發(fā)，但由于缺乏資源而無法轉(zhuǎn) 發(fā)的幀的百分比。該指標與吞吐量有一定的關聯(lián)性，吞吐量比較高的防火墻幀丟 失率一般比較低。在測試的 5 種幀長度下， NetScreen-208 在 256、512 和 1518 字節(jié)幀下結(jié)果為 0， 64 字節(jié)幀下結(jié)果為 57.45%。一般來講，防火墻起 NAT 后的性能要比起之前的單向性能略微低一些，因 為啟用 NAT 功能自然要多占用一些系統(tǒng)的資源。安氏領信防火墻與清華得實 NetST 2104防火墻在起NAT功能后64字節(jié)幀的吞吐量比單向吞吐量結(jié)果略高。最大并發(fā)連接數(shù)決定了防火墻能夠同時支持的并發(fā)用戶數(shù)，這對于防火墻來 說也是一個非常有

8、特色也是非常重要的性能指標，尤其是在受防火墻保護的網(wǎng)絡 向外部網(wǎng)絡提供Web服務的情況下。天融信NGFW 4000以100萬的最大并發(fā)連 接數(shù)名列榜首，而龍馬衛(wèi)士防火墻結(jié)果也達到80萬。我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻 擊。我們還在防攻擊測試中試圖建立 5 萬個 TCP/HTTP 連接，考察防火墻在啟動 防攻擊能力的同時處理正常連接的能力。Syn Flood 目前是一種最常見的攻擊方式，防火墻對它的防護實現(xiàn)原理也不 相同，比如，安氏領信防火墻與NetScreen-208采用SYN代理的方式，在測試這 兩款防火墻時我們建立的是50000個TCP連

9、接背景流，兩者能夠過濾掉所有攻 擊包。SG-300、聯(lián)想網(wǎng)御2000在正常建立TCP/HTTP連接的情況下防住了所有 攻擊包。大多數(shù)防火墻都能夠?qū)murf、Ping of Death和Land-based三種攻擊包 全部都過濾掉。Teardrop攻擊測試將合法的數(shù)據(jù)包拆分成三段數(shù)據(jù)包，其中一段包的偏移量 不正常。對于這種攻擊，我們通過 Sniffer 獲得的結(jié)果分析防火墻有三種防護方 法，一種是將三段攻擊包都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩余 的兩段數(shù)據(jù)包組合成正常的數(shù)據(jù)包允許穿過防火墻，還有一種是將第二段丟棄， 另外兩段分別穿過防火墻，這三種方式都能有效防住這種攻擊。實際測試結(jié)

10、果顯 示方正方御、安氏領信、SG-300、龍馬衛(wèi)士屬于第一種情況，神州數(shù)碼 DCFW-1800、得實 NetST2104、聯(lián)想網(wǎng)御 2000 屬于第二種情況，Netscreen-208 屬于第三種情況。對于 Ping Sweep 和 Ping Flood 攻擊，所有防火墻都能夠防住這兩種攻擊， SG-300 防火墻過濾掉了所有攻擊包，而方正方御防火墻只通過了 1 個包。雖然 其余防火墻或多或少地有一些 ping 包通過，但大部分攻擊包都能夠被過濾掉， 這種結(jié)果主要取決于防火墻軟件中設定的每秒鐘通過的ping包數(shù)量。2.千兆防火墻性能結(jié)果分析由于千兆防火墻主要應用于電信級或者大型的數(shù)據(jù)中心，因此

11、性能在千兆防 火墻中所占的地位要比百兆防火墻更加重要?？偟膩碚f，三款千兆防火墻之間的 差異相當大，但性能結(jié)果都明顯要高于百兆防火墻。雙向吞吐量測試結(jié)果中， NetScreen-5200 64、 128、 256、 512、 1518字節(jié)幀 結(jié)果分別為 58.99%、 73.05%、 85.55%、 94.53%、 97.27%線速。千兆防火墻的延 遲與百兆防火墻相比降低都十分明顯，NetScreen-5200的雙向10%線速下的延遲 相當?shù)停?4字節(jié)幀長僅為4.68 ft，1518字節(jié)幀長的也只有24.94衽。起NAT功 能后， NetScreen-5200 防火墻 64 字節(jié)幀長的吞吐量為

12、62.5%。由于 ServGate SG2000H 不支持路由模式，所有只測了 NAT 結(jié)果，該防火墻在 1518 字節(jié)幀長 達到了 100%線速。阿姆瑞特F600+起 NAT功能對其性能影響很小。最大并發(fā)連 接數(shù)的測試結(jié)果表明，NetScreen-5200防火墻達到100萬。在防攻擊能力測試中，三款千兆防火墻對于Smurf和Land-based攻擊的防 護都很好,沒有一個攻擊包通過防火墻。對于Ping of Death攻擊，NetScreen-5200 和阿姆瑞特F600+防火墻丟棄了所有的攻擊包,SG2000H防火墻測試時對發(fā)送的 45 個攻擊包，丟棄了后面的兩個攻擊包，這樣也不會對網(wǎng)絡造

13、成太大的危害。 在防護Teardrop攻擊時，F(xiàn)600+防火墻丟棄了所有的攻擊包，ServGate-2000防火 墻只保留了第一個攻擊包，NetSreen-5200防火墻則保留了第一和第三個攻擊包, 這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊 測試結(jié)果為 1000 個攻擊包全都過濾掉。二、功能綜述在我們此次測試防火墻的過程中，感受到了不同防火墻產(chǎn)品之間的千差萬 別，并通過親自配置體會到防火墻在易用性、管理性以及日志審計等方面的各自 特色。包過濾、狀態(tài)檢測和應用層代理是防火墻主要的三種實現(xiàn)技術，從此次參測 的防火墻產(chǎn)品中我們可以明顯地看到狀態(tài)檢測或?qū)?/p>

14、態(tài)檢測與其他兩種技術混 合在一起是主流的實現(xiàn)原理。在工作方式方面，大部分防火墻都支持路由模式和橋模式（透明模式），來 自ServGate公司的SG300和SG2000H，其工作方式主要是橋模式和NAT模式, 沒有一般產(chǎn)品所具有的路由模式。天融信NGFW 4000和衛(wèi)士通龍馬的龍馬衛(wèi)士 防火墻還支持混合模式。1百兆防火墻（1）與交換機走向融合當我們拿到要測試的防火墻時，有一個非常直觀的感覺是防火墻不再只是傳 統(tǒng)的三個端口，正在朝向多個端口方向發(fā)展，帶有 4 個端口的防火墻非常常見， 我們都知道三個端口是用來劃分內(nèi)網(wǎng)、外網(wǎng)和 DMZ 區(qū)，那么增加的第 4 個端口 有什么用呢？不同產(chǎn)品差別很大，但以

15、用作配置管理的為主，安氏的防火墻將該 端口作為與 IDS 互動的端口，比較獨特。像天融信網(wǎng)絡衛(wèi)士 NGFW4000 則可以 最多擴展到 12 個端口， Netscreen-208 有 8 個固定端口， Netscreen-5200 則是模 塊化的千兆防火墻，可以插帶 8 個 miniGBIC 1000Base-SX/LX 千兆端口或 24 個 百兆端口的模塊，這顯示了防火墻與交換機融合的市場趨勢。對 DHCP 協(xié)議的支持方面，防火墻一般可以作為 DHCP 信息的中繼代理， 安氏領信防火墻、清華得實NetST2104、天融信NGFW4000都有這個功能。而 Netscreen-208、 SG30

16、0 還可以作為 DHCP 服務器和客戶端，這是非常獨特的地 方。在 VLAN 支持方面， Netscreen 防火墻又一次顯示了強大的實力。與交換機 類似， Netscreen-208 支持每個端口劃分為子端口，每個子端口屬于不同的 VLAN， 支持802.1Q，并且不同子端口還可以屬于不同區(qū)域。安氏領信、聯(lián)想網(wǎng)御2000、 天融信NGFW4000防火墻則有相應選項支持VLAN，主要支持802.1Q和Cisco 的 ISL。（2）管理特色凸現(xiàn)管理功能是一個產(chǎn)品是否易用的重要標志，對此我們考察了防火墻對管理員 的權限設置、各種管理方式的易用性以及帶寬管理特性。不同的防火墻對管理員的權限分級方式不

17、同，但總的來說，不同的管理員權 限在保護防火墻的信息的同時，通過三權分立確保了防火墻的管理者職責分明， 各司其職。方正方御 FGFW 通過實施域管理權、策略管理、審計管理、日志查 看四個不同權限對管理員權限進行限制。目前，對防火墻的管理一般分為本地管理和遠程管理兩種方式，具體來說， 主要包括串口命令行、 Telnet、GUI 管理工具以及 Web 管理。總的來講，像 Netscreen-208、神州數(shù)碼防火墻支持命令行、Telnet、GUI管理工具以及Web管 理這幾種方式，非常方便用戶從中選擇自己喜歡的方式。但我們在測試過程中發(fā) 現(xiàn)不少防火墻的命令行比較難懂，對于很多用戶來說使用會比較困難，

18、而安氏、 Netscreen-208、天融信、清華得實防火墻的命令行方式比較簡潔明了，這為喜歡 用命令行進行防火墻配置的用戶來說帶來了便捷。當然，很多防火墻的CLI命令 功能比較簡單，主要功能還是留給了 GUI 管理軟件，方正、聯(lián)想防火墻是非常 典型的例子。從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web 管理界面給我們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項可以 使用戶輕松配置管理防火墻的各方面，同時Web管理一般都支持基于SSL加密 的HTTPS方式訪問。當然，對于要集中管理多臺防火墻來說，GUI管理軟件應 該是不錯的選擇。聯(lián)想網(wǎng)御2000、

19、天融信、清華得實、方正方御的GUI管理軟 件安裝和使用都比較容易。帶寬管理正在成為防火墻中必不可少的功能，通過帶寬管理和流量控制在為 用戶提供更好服務質(zhì)量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送 測的9款百兆防火墻都支持帶寬管理。比如神州數(shù)碼DCFW-1800防火墻能夠?qū)?時檢測用戶流量，對不同的用戶，每天分配固定的流量，當流量達到時切斷該用 戶的訪問。龍馬衛(wèi)士防火墻通過支持基于IP和用戶的流量控制實現(xiàn)對防火墻各 個接口的帶寬控制。（3）VPN 和加密認證防火墻與VPN的集成是一個重要發(fā)展方向。此次參測的防火墻中安氏領信 防火墻、方正網(wǎng)御FGFW、Netscreen-208、SG30

20、0、清華得實NetST 2104、龍馬 衛(wèi)士防火墻這6款防火墻都有VPN功能或VPN模塊。作為構建VPN最主要的 協(xié)議IPSec，這6款防火墻都提供了良好的支持。安氏領信防火墻的 VPN 模塊在對各種協(xié)議和算法的方面支持得非常全面， 包括 DES、3DES、AES、CAST、BLF、RC2/R4 等在內(nèi)的主流加密算法都在該 產(chǎn)品中得到了支持。主要的認證算法 MD5 在 6 款防火墻中都得到了較好支持。 不同加密算法與認證算法的組合將會產(chǎn)生不同的算法，如 3DES-MD5 就是 3DES 加密算法和 MD5 算法的組合結(jié)果。安氏和 NetScreen-208 能夠很好地支持這種不 同算法之間的組

21、合。 方正網(wǎng)御、清華得實 NetST2104 和衛(wèi)士通龍馬的龍馬衛(wèi)士 防火墻則以支持國家許可專用加密算法而具有自己的特點。當然，加密除了用于 VPN 之外，遠程管理、遠程日志等功能通過加密也能夠提升其安全性。（4）在身份認證方面，防火墻支持的認證方法很重要。安氏領信防火墻支 持本地、RADIUS、SecurelD、NT域、數(shù)字證書、MSCHAP等多種認證方式和 標準，這也是所有參測防火墻中支持得比較全的。非常值得一提的是聯(lián)想網(wǎng)御 2000所提供的網(wǎng)御電子鑰匙。帶USB接口的電子鑰匙主要用來實現(xiàn)管理員身份 認證，認證過程采用一次性口令（OTP）的協(xié)議SKEY，可以抵抗網(wǎng)絡竊聽。（5）防御功能 防

22、火墻本身具有一定的防御功能指的是防火墻能夠防止某些攻擊、進行內(nèi)容過濾、病毒掃描，使用戶即使沒有入侵檢測產(chǎn)品和防病毒產(chǎn)品的情況下也能夠通 過防火墻獲得一定的防護能力。在病毒掃描方面，表現(xiàn)最突出的當屬聯(lián)想網(wǎng)御 2000，它集成了病毒掃描引 擎，具有防病毒網(wǎng)關的作用，能夠?qū)崟r監(jiān)控 HTTP、 FTP、 SMTP 數(shù)據(jù)流，使各 種病毒和惡意文件在途徑防火墻時就被捕獲。在內(nèi)容過濾方面，大部分防火墻都支持 URL 過濾功能，可有效防止對某些 URL的訪問。清華得實NetST2104、安氏防火墻內(nèi)置的內(nèi)容過濾模塊，為用戶提 供對 HTTP、 FTP、 SMTP、 POP3 協(xié)議內(nèi)容過濾，能夠針對郵件的附件文

23、件類型 進行過濾。聯(lián)想網(wǎng)御 2000 還支持郵件內(nèi)容過濾的功能。在防御攻擊方面，Netscreen-208、方正方御、聯(lián)想網(wǎng)御2000、SG300以及安 氏領信防火墻則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的 設置選項，用戶可以自主設置實現(xiàn)對這些攻擊的防護。安氏領信防火墻除了本身 帶有入侵檢測模塊之外，還有一個專門端口與IDS互動。天融信NGFW 4000則 通過 TOPSEC 協(xié)議與其他入侵檢測或防病毒產(chǎn)品系統(tǒng)實現(xiàn)互動，以實現(xiàn)更強勁 的防攻擊能力。（6）安全特性代理機制通過阻斷內(nèi)部網(wǎng)絡與外部網(wǎng)絡的直接聯(lián)系，保證了內(nèi)部網(wǎng)的拓撲結(jié) 構等重要信息被限制在代理網(wǎng)關的內(nèi)側(cè)。

24、參測的百兆防火墻大都能夠支持大多數(shù)應用層協(xié)議的代理功能，包括HTTP、 SMTP、POP3 、FTP 等，從而能夠屏蔽某些特殊的命令，并能過濾不安全的內(nèi) 容。NAT 通過隱藏內(nèi)部網(wǎng)絡地址，使其不必暴露在 Internet 上 從而使外界無法 直接訪問內(nèi)部網(wǎng)絡設備，而內(nèi)部網(wǎng)絡通過NAT以公開的IP地址訪問外部網(wǎng)絡，從 而可以在一定程度上保護內(nèi)部網(wǎng)絡。另一方面，NAT也解決了目前IP地址資源 不足的問題。此次參測的防火墻對于 NAT 都有較強的支持功能，雖然大家叫的 名稱不同，但主要方式包括一對一、多對一 NAT、多對多NAT以及端口 NAT。（7）高可用性 負載均衡的功能現(xiàn)在在防火墻身上也開始有

25、所體現(xiàn)， Netscreen-208 支持防火墻之間的負載分擔，而其他防火墻則支持服務器之間的負載均衡。目前用戶對于防火墻高可用性的需求越來越強烈。此次參測的 9 款百兆防火 墻都支持雙機熱備的功能。Netscreen-208可以將8個端口中設定一個端口作為高 可用端口，實現(xiàn)防火墻之間的 Active-Active 高可用性。（8）日志審計和警告功能 防火墻日志處理方式主要包括本地和遠程兩種。但由于防火墻在使用過程中會產(chǎn)生大量的日志信息，為了在繁多的日志中進行查詢和分析，有必要對這些日 志進行審計和管理，同時防火墻存儲空間較小，因此單獨安裝一臺服務器用來存 放和審計管理防火墻的各種日志都非常必

26、要。安氏、 方正防御、 聯(lián)想網(wǎng) 御 2000、 清華得實 NetST2104、 神州數(shù)碼 DCFW-1800、天融信NGFW4000以及龍馬衛(wèi)士防火墻都提供了日志管理軟件實 現(xiàn)對日志服務器的配置和管理，可以利用管理軟件對日志信息進行查詢、統(tǒng)計和 提供審計報表。而 NetScreen-208 支持多種日志服務器的存儲方式，包括 Internal、 Syslog、 WebTrends、 flash 卡等。當日志中監(jiān)測到系統(tǒng)有可疑的行為或網(wǎng)絡流量超過某個設定閾值時，根據(jù)設 定的規(guī)則，防火墻應該向管理員發(fā)出報警信號。安氏、 Netscreen-208 在警告通知 方式方面支持 E-mail、 Sysl

27、og、 SNMP trap 等。而方正方御則支持通過 LogService 消息、E-mai 1、聲音、無線、運行報警程序等方式進行報警。對日志進行分級和分類將非常有利于日志信息的查詢以及處理。安氏、NetScreen-208、天融信NGFW4000以及衛(wèi)士通龍馬的龍馬衛(wèi)士防火墻支持不同 等級的日志。龍馬衛(wèi)士防火墻將日志級別分為調(diào)試信息、消息、警告、錯誤、嚴 重錯誤 5 種級別。 NetScreen-208 則將日志分為負載日志、事件日志、自我日志 三種，事件日志分為 8 個不同等級。（9）優(yōu)秀的文檔很關鍵大部分防火墻產(chǎn)品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印 象的是聯(lián)想、方正與安

28、氏防火墻的印刷文檔非常精美全面，內(nèi)容涵蓋了主流的防 火墻技術以及產(chǎn)品的詳細配置介紹，還舉了很多實用的例子幫助用戶比較快地配 好防火墻，使用各種功能。得實 NetST 2104防火墻用戶手冊、天融信 NGFW 4000 電子文檔都對CLI命令進行了詳細解釋，非常有利于那些習慣使用命令行進行配 置的防火墻管理員使用。Netscreen網(wǎng)站上有非常完整的用戶手冊，但缺憾在于 它們?nèi)渴怯⑽牡摹?千兆防火墻此次總共收集到 4 款千兆防火墻產(chǎn)品，但北大青鳥在性能測試尚未完成時就 自行退出，所以共測試完成了三款千兆防火墻，它們都是來自國外廠商的產(chǎn)品 : NetScreen-5200、阿姆瑞特 F600+和 ServGate SG2000H。NetScreen-5200 是采用 ASIC處理器的代表，而SG2000H則是采用網(wǎng)絡處理器的例子。從實現(xiàn)原理來看，三者都主要是基于狀態(tài)檢測技術，而在工作方式上， NetScreen-5200、阿姆瑞特 F600+主要支持路由模式和橋模式，而ServGateSG2000H 則支持橋模式和 NAT 模式。F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP服務器、客 戶端或中繼代理。在 VLAN 支持方面， NetScreen-5200 的每個端口可以設定不同 子端口，每個子端