防火墻與入侵檢測(cè)四防火墻廠商及其主要產(chǎn)品

第四章

防火墻廠商及產(chǎn)品介紹防火墻性能指標(biāo)知名防火墻廠商及其主要產(chǎn)品本章小結(jié)防火墻性能指標(biāo)

評(píng)估時(shí)需要考慮的因素：可靠性、可用性、可擴(kuò)展性、可審計(jì)性、可管理性以及成本耗費(fèi)。評(píng)估參數(shù)的選擇：

吞吐量（Throughput）、時(shí)延(Latency)、丟包率(Packetlossrate)、并發(fā)連接數(shù)、工作模式（包括路由模式、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)模式和透明模式）、配置與管理方式、接口的數(shù)量和類型、日志和審計(jì)功能、可用性參數(shù)以及其它參數(shù)（一般指內(nèi)容過濾、入侵檢測(cè)、用戶認(rèn)證和VPN與加密幾種主要的附加功能）等。防火墻性能指標(biāo)可靠性包括兩層含義：一是防火墻能夠加強(qiáng)網(wǎng)絡(luò)的安全性；二是防火墻本身是安全可靠的，具有較強(qiáng)的抗攻擊能力?？捎眯钥捎眯酝瑯影瑑蓪雍x：一是防火墻可以提供多種工作模式，多種檢測(cè)手段來(lái)靈活、便捷地實(shí)施安全策略，對(duì)于用戶的安全性保護(hù)來(lái)說(shuō)是可用的；二是對(duì)于任何因設(shè)備運(yùn)行異常而出現(xiàn)的錯(cuò)誤，防火墻都可以自動(dòng)地進(jìn)行處理，保證防火墻可以持續(xù)不斷地運(yùn)行，主要指基于故障轉(zhuǎn)移、群集或者其他策略的冗余體系結(jié)構(gòu)和備份過程等。防火墻性能指標(biāo)可擴(kuò)展性防火墻能夠適應(yīng)用戶網(wǎng)絡(luò)結(jié)構(gòu)和規(guī)模的變化?？蓪徲?jì)性為了有效監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，防火墻應(yīng)該具有較強(qiáng)的事件分類記錄和自動(dòng)分析、審計(jì)功能。防火墻應(yīng)該能夠?qū)W(wǎng)絡(luò)事件進(jìn)行細(xì)粒度地分類記錄，對(duì)于任何超過正常閾值范圍的異常事件，可以通過多種手段進(jìn)行通知和告警。防火墻還應(yīng)該能夠自動(dòng)對(duì)事件數(shù)據(jù)進(jìn)行分析，主動(dòng)地發(fā)現(xiàn)潛在的威脅行為，提供攻擊預(yù)報(bào)功能。防火墻性能指標(biāo)可管理性防火墻應(yīng)該為管理員提供友好且簡(jiǎn)單的圖形界面，以利于管理員快速、便捷地進(jìn)行防火墻運(yùn)行參數(shù)和執(zhí)行安全策略的配置，減少因?yàn)榕渲貌僮鞯膹?fù)雜性帶來(lái)的系統(tǒng)漏洞。成本耗費(fèi)根據(jù)用戶需求而決定的設(shè)備采購(gòu)費(fèi)用。硬件組件和軟件組件是一次性費(fèi)用，而整體運(yùn)行成本與設(shè)備生命周期相關(guān)，包括使用、維護(hù)和升級(jí)等操作發(fā)生的費(fèi)用。防火墻性能指標(biāo)評(píng)估參數(shù)吞吐量防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。每秒鐘可以通過防火墻的最大數(shù)據(jù)流量，通常用防火墻在不丟包的條件下每秒轉(zhuǎn)發(fā)包的最大數(shù)目來(lái)表示。時(shí)延在系統(tǒng)重載情況下，防火墻是否會(huì)成為網(wǎng)絡(luò)訪問服務(wù)的瓶頸。時(shí)延指的是在防火墻最大吞吐量的情況下，數(shù)據(jù)包從到達(dá)防火墻到被防火墻轉(zhuǎn)發(fā)出去的時(shí)間間隔。丟包率在不同負(fù)載情況下，因?yàn)閬?lái)不及處理而不得不丟棄的數(shù)據(jù)包占收到的數(shù)據(jù)包總數(shù)的比例。并發(fā)連接數(shù)防火墻對(duì)業(yè)務(wù)流的處理能力，是其能夠同時(shí)處理的點(diǎn)到點(diǎn)連接的最大數(shù)目。工作模式防火墻性能指標(biāo)工作模式路由模式防火墻可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信。網(wǎng)絡(luò)地址轉(zhuǎn)換模式NAT模式實(shí)際是路由模式的一種。這種模式將內(nèi)聯(lián)網(wǎng)絡(luò)的IP地址翻譯成外聯(lián)網(wǎng)絡(luò)的一個(gè)或多個(gè)合法地址，然后訪問Internet。透明模式可以過濾通過防火墻的數(shù)據(jù)包，而不會(huì)修改數(shù)據(jù)包包頭中的源地址或目的地址信息。不但可以完成同一網(wǎng)段的數(shù)據(jù)包轉(zhuǎn)發(fā)，而且不需要修改周邊網(wǎng)絡(luò)設(shè)備的設(shè)置。防火墻性能指標(biāo)配置與管理圖形化界面命令行界面接口的數(shù)量和類型一般設(shè)有多個(gè)內(nèi)聯(lián)網(wǎng)絡(luò)接口、一個(gè)外聯(lián)網(wǎng)絡(luò)接口和用戶系統(tǒng)配置和維護(hù)的控制接口。日志和審計(jì)參數(shù)可用性參數(shù)用于評(píng)價(jià)防火墻的容災(zāi)容錯(cuò)能力和附加的性能增強(qiáng)能力。主－備份雙機(jī)模式，備份防火墻持續(xù)不斷地檢測(cè)主防火墻工作狀態(tài)。雙鏈路并行傳遞，實(shí)現(xiàn)網(wǎng)絡(luò)負(fù)載平衡，以增強(qiáng)系統(tǒng)性能。其他知名防火墻廠商及其主要產(chǎn)品4.2.2

Cisco4.2.1

Juniper/NetScreen4.2.4

Fortinet4.2.3

CheckPoint4.2.6

安氏4.2.5

WatchGuard4.2.8

東軟4.2.7

天融信Juniper/NetScreenNetScreen由三位留美的清華學(xué)子創(chuàng)建，其防火墻和VPN產(chǎn)品無(wú)論從性能指標(biāo)還是質(zhì)量上都位居世界前列。

Juniper/NetScreen公司創(chuàng)造了多個(gè)世界第一：第一個(gè)基于特定應(yīng)用集成電路（ASIC）的平臺(tái)；第一個(gè)基于ASIC的防火墻；第一個(gè)入侵檢測(cè)與防護(hù)（IDP）產(chǎn)品，以及最全的SSLVPN產(chǎn)品；第一臺(tái)Gigabit防火墻。

Juniper/NetScreen出品的NetScreen系列防火墻是由硬件來(lái)實(shí)現(xiàn)防火墻技術(shù)的網(wǎng)絡(luò)安全產(chǎn)品。它將NAT、包過濾、DMZ、VPN、負(fù)載均衡及流量控制等技術(shù)集成在同一設(shè)備里，具有速度快、功能完善、設(shè)置簡(jiǎn)單和高性能價(jià)格比的優(yōu)點(diǎn)。其防火墻產(chǎn)品的具體功能特性為：擁有專用的操作系統(tǒng)ScreenOS、擁有專門優(yōu)化的硬件增強(qiáng)技術(shù)、集成VPN、靈活的流量管理、基于ASIC的訪問策略的執(zhí)行、管理簡(jiǎn)單快捷。Cisco

可能是歷史上最有名的網(wǎng)絡(luò)公司。其安全產(chǎn)品特性如下：可在單一設(shè)備中集成豐富的安全服務(wù)。使用專用的安全操作系統(tǒng)，消除了各種安全風(fēng)險(xiǎn)，提高可靠性。安全功能強(qiáng)大，可綜合利用各種先進(jìn)技術(shù)。支持IKE和IPSecVPN標(biāo)準(zhǔn)。融合了入侵檢測(cè)的功能。還可與思科網(wǎng)絡(luò)入侵解決方案相集成，構(gòu)成統(tǒng)一的網(wǎng)絡(luò)防護(hù)體系。提供動(dòng)態(tài)或者靜態(tài)的網(wǎng)絡(luò)地址解析（NAT）和端口地址解析（PAT）功能。用戶可靈活地實(shí)現(xiàn)聯(lián)網(wǎng)功能而且與PPPoE(PPPOverEthernet)網(wǎng)絡(luò)兼容。管理方便、快捷，手段靈活。提供了較強(qiáng)的可管理性和可審計(jì)性。CheckPointCheckPoint公司是全球首屈一指的互聯(lián)網(wǎng)安全解決方案供應(yīng)商，是Internet安全領(lǐng)域的全球領(lǐng)先企業(yè)，在全球VPN及防火墻市場(chǎng)上居于領(lǐng)導(dǎo)地位。

CHECKPOINT?VPN-1/FireWall-1?是業(yè)界領(lǐng)先的企業(yè)級(jí)安全性套件。

CheckPoint公司防火墻產(chǎn)品具有如下特性：狀態(tài)檢測(cè)技術(shù)

OPSEC（OpenPlatformforSecureEnterpriseConnectivity）集中管理下的分布式客戶機(jī)/服務(wù)器結(jié)構(gòu)對(duì)網(wǎng)絡(luò)協(xié)議的廣泛支持增強(qiáng)的身份認(rèn)證（包括用戶認(rèn)證、客戶認(rèn)證和會(huì)話認(rèn)證三種方法）加密內(nèi)容安全FortinetFortinet公司的創(chuàng)始人、總裁與CEO謝青（KenXie）是NetScreen公司的原執(zhí)行總裁兼創(chuàng)辦人之一。Fortinet公司的技術(shù)總監(jiān)為全球著名防毒專家、WildList的創(chuàng)始人JoeWells。

Fortinet是新一代網(wǎng)絡(luò)實(shí)時(shí)安全防御網(wǎng)關(guān)的技術(shù)引領(lǐng)者。首家推出基于ASIC硬件體系結(jié)構(gòu)的FortiGate防火墻。該系列產(chǎn)品已獲得國(guó)際著名的ICSALab的防病毒、IPSec、NIDS和防火墻四項(xiàng)認(rèn)證證書，是全球唯一同時(shí)擁有這四項(xiàng)證書的廠家。

FortiGate系列防火墻產(chǎn)品的功能特性如下：病毒檢測(cè)與蠕蟲防御。狀態(tài)檢測(cè)。實(shí)現(xiàn)了實(shí)時(shí)的、基于網(wǎng)絡(luò)的IDS/阻斷。虛擬專用網(wǎng)（VPN）。支持內(nèi)容過濾。提供了多種管理配置手段。具有較強(qiáng)大的日志記錄與分析功能。WatchGuardWatchGuard公司是全球排名前五位的專業(yè)生產(chǎn)防火墻的公司之一。WatchGuard公司以生產(chǎn)即插即用Internet安全設(shè)備“Firebox”系列和相應(yīng)的服務(wù)器安全軟件而聞名于世。

WatchGuard在全球首創(chuàng)了專用安全系統(tǒng)；首家將應(yīng)用層安全結(jié)合到防火墻系統(tǒng)中；首創(chuàng)了可全面升級(jí)的整合安全網(wǎng)關(guān)；首創(chuàng)可全面升級(jí)的統(tǒng)一威脅管理（UTM）產(chǎn)品。

WatchGuard的產(chǎn)品包括從高端到低端的FireboxXPeak、FireboxXCore和FireboxXEdge三大系列，均具有防火墻、VPN、網(wǎng)關(guān)防毒、入侵防御、網(wǎng)站分類過濾（WebBlocker）、垃圾郵件攔截（spamBlocker）、反間諜軟件等多項(xiàng)網(wǎng)絡(luò)安全與內(nèi)容安全防御功能。三個(gè)系列的主要區(qū)別是應(yīng)用環(huán)境不同：FireboxXPeak系列適用于高級(jí)網(wǎng)絡(luò)環(huán)境，F(xiàn)ireboxXCore系列適用于公司和分支機(jī)構(gòu)，F(xiàn)ireboxXEdge系列適用于中小型企業(yè)、遠(yuǎn)程辦公室和遠(yuǎn)程工作人員。

WatchGuard的產(chǎn)品具有高安全性、易用性、較高的性價(jià)比等特點(diǎn)。安氏安氏亮是一偏家以帥技術(shù)鹽著稱棉的專氣業(yè)信燙息安零全公任司，攤它成償功開追發(fā)了蠢全新慣一代宿安全僻管理冤解決癢方案——安全繁運(yùn)行顆中心貫（Se哄cu伴ri辱ty傘O嗓pe冬ra至ti陶on芹C棉en宜te以r,簡(jiǎn)稱SO群C）。安氏煙公司棟在電冬信、捷金融辟等行拆業(yè)率仇先推受出了把整體洲信息食安全饒管理截方案賠，其拆主要栗產(chǎn)品價(jià)是“領(lǐng)信”系列亦安全散產(chǎn)品室。天融環(huán)信天融舍信公拳司于19睡96年推物出了殿中國(guó)兔第一袖套自掃主版隆權(quán)的貪防火儲(chǔ)墻產(chǎn)城品，萄具有蘇填補(bǔ)薯國(guó)內(nèi)蕉空白敗的重噸要意煌義。充隨后樂幾年績(jī)又推詢出了VP倆N、ID虎S、過降濾網(wǎng)賴關(guān)、捷安全拼審計(jì)文、安請(qǐng)全管雁理等群一系頑列安畢全相乓關(guān)產(chǎn)價(jià)品。20碎01年組等織并虧構(gòu)建彈了TO煉PS舊EC聯(lián)動(dòng)蠅協(xié)議利安全享標(biāo)準(zhǔn)匙，提殺出了比一套茫集各爽類安膽全產(chǎn)蛇品和銹集中氧管理做、集貨中審渾計(jì)為弓一體觀的TO輕PS衛(wèi)EC安全膏解決臟方案裝。又韻于20戰(zhàn)04年底鄭率先衡提出“可信勻網(wǎng)絡(luò)破架構(gòu)斯（TN桌A）”，強(qiáng)肢化可鋤信安固全管拖理在仆安全佳建設(shè)視中的稠核心權(quán)地位查，通摸過全皺局安良全管菊理，橡實(shí)現(xiàn)玻多層屠次的桃積極覺防御蘋和綜昆合防億范。20焦00年至20痕04年，役天融威信公潤(rùn)司市爸場(chǎng)份則額連丙續(xù)五白年均檔居國(guó)多內(nèi)安渴全廠治商之豎首。忍據(jù)兩縮慧大權(quán)飲威咨晴詢機(jī)診構(gòu)ID俯C及CC與ID統(tǒng)計(jì)吸：天亦融信20泰04年全換年防從火墻摸市場(chǎng)告份額味超過擱了16磁%，名蜻列所釋有國(guó)藝內(nèi)外怨安全礎(chǔ)廠商被第一廟位。天融敞信公懸司的凍銀河鵲防火唯墻（NG抖FW劣40憲00呢-U毫F百TG魯-5井73塘6）是掀國(guó)內(nèi)猾首款舞具備涌萬(wàn)兆浙網(wǎng)絡(luò)禮接入越能力艘的防易火墻徐產(chǎn)品意。網(wǎng)遺絡(luò)衛(wèi)霧士獵畢豹系館列防塞火墻讀則采遵用了掏真正詢擁有抖的具繡有國(guó)廈產(chǎn)知怨識(shí)產(chǎn)錫權(quán)的塔新一鳥代可討編程從安全敘芯片瘋。東軟東軟吐是中每國(guó)領(lǐng)查先的久軟件液與解騙決方順案提變供商戚。東軟便的Ne躍tE絮ye防火律墻(F屬W)產(chǎn)品議采用拴獨(dú)創(chuàng)距的基疏于狀士態(tài)包耐過濾愉的“流過腔濾”體系電結(jié)構(gòu)桐，保戚證了盯從數(shù)浙據(jù)鏈鵲路層凱到應(yīng)耳用層譯的完末全高議性能穩(wěn)過濾悅，并僅可以秩進(jìn)行截應(yīng)用鏈級(jí)插良件的禽及時(shí)艦升級(jí)散和安耐全威無(wú)脅的謹(jǐn)有效紛防護(hù)然，實(shí)噸現(xiàn)網(wǎng)重絡(luò)安兩全的拿動(dòng)態(tài)舍保障村。Ne傭tE榨ye防火瓣墻采熟用NP架構(gòu)廟，運(yùn)撓行于Ne姓tE鳥ye安全司操作混系統(tǒng)罩之上賴，具道有高寶吞吐蔥量、晚低延未遲、允零丟芬包率