全方位讲解硬件防火墙的选择（2）

　　 
　　全方位讲解硬件防火墙的选择
　　3、四类防火墙的对比　　

　　包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

　　应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。　　

　　状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。　　

　　复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

　　4、防火墙术语　　

　　网关：在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。这个术语是非常常见的。

　　DMZ非军事化区：为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，inte.net和DMZ。

　　吞吐量：网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。　　

　　最大连接数：和吞吐量一样，数字越大越好。但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。

　　数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。

　　SSL：SSL（Secure Sockets Layer）是由Netscape公司开发的一套Internet数据安全协议，当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

　　网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。　　

　　堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。　　

　　二、市场上常见的硬件防火墙　　

　　（1）NetScreen 208 Firewall

　　NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间，并在防范安全漏洞的工作上，省略设置的步骤。NetScreen-100 Firewall比适合中型企业的网络安全需求。

　　（2）Cisco Secure PIX 515-E Firewall　

　　Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同，Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性，同时不会引起IP地址短缺问题。NAT既可利用现有IP地址，也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。　　

　　（3）天融信网络卫士NGFW4000-S防火墙　　

　　北京天融信公司的网络卫士是我国第一套自主版权的防火墙系统,目前在我国电信、电子、教育、科研等单位广泛使用。它由防火墙和管理器组成。网络卫士NGFW4000-S防火墙是我国首创的核检测防火墙，更加安全更加稳定。网络卫士NGFW4000-S防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。网络卫士防火墙系统是中国人自己设计的，因此管理界面完全是中文化的，使管理工作更加方便，网络卫士NGFW4000-S防火墙的管理界面是所有防火墙中最直观的。网络卫士NGFW4000-S防火墙比适合中型企业的网络安全需求。

　　（4）东软NetEye 4032防火墙　　

　　NetEye 4032防火墙是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面大大提高。其基于状态包过滤的流过滤体系结构，保证从数据链路层到应用层的完全高性能过滤，可以进行应用级插件的及时升级，攻击方式的及时响应，实现动态的保障网络安全。NetEye防火墙4032对流过滤引擎进行了优化，进一步提高了性能和稳定性，同时丰富了应用级插件、安全防御插件，并且提升了开发相应插件的速度。网络安全本身是一个动态的，其变化非常迅速，每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整，这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构，具有动态保护网络安全的特性，使NetEye防火墙能够有效的抵御各种新的攻击，动态保障网络安全。东软NetEye 4032防火墙比适合中小型企业的网络安全需求。

原文转自：http://www.ltesting.net