關於各類防火牆的介紹(2)(轉)

關於各類防火牆的介紹(2)(轉)[@more@]

　　4. NAI Gauntlet

　　Gauntlet是美國網路聯盟公司(NAI)推出的PGP網路安全解決方案中的防火牆套件產品。該產品屬於應用層閘道器一級的防火牆。

　　Gauntlet 在應用層按照安全策略檢查雙向的通訊，具有使用者透明、整合管理、強力加密和內容安全、高吞吐量的特性，可用於Internet/Intranet和遠端訪問等多種領域，但這些功能模組相對簡單，效能相對較低，而且配置管理介面基本是基於命令列的，沒有GUI那麼直觀和友好。

　　使用者在使用Gauntlet防火牆產品時，還可以根據需求選擇防病毒措施，這是他的特色之一。配置Gauntlet防火牆，還可以檢查進入網路的檔案、訊息和Web內容；防止Java和ActiveX程式攻擊網路；過濾URL、對遠端訪問進行報告和實時報警。

　　Gauntlet 提供了比較豐富的代理服務清單，其中包括：FTP（諸如Microsoft公司的NetShow、RealNetworks公司的RealPlayer、 ZingTechnology公司的StreamWorks以及VDOnet公司的VDOLive之類的多媒體）、SNMP、新聞以及其他幾種，它還具有建立定製代理的功能。其鑑定服務包括:AccessKeyⅡ、CryptocardRB-Ⅰ、AxentTechnologies公司的 DefenderSecurityServer、VascoDataSecurity公司的Digipass、SecureComputing公司的 SafeWordAuthenticationServer、SecureNetKey、SecurID、S/Key以及可重用口令(內建)。

　　NAI Gauntlet不含有Integrated Web Cache功能，不能加速企業的網路資訊訪問，並且沒有支援企業級應用的防火牆陣列功能，這一點對於任何軟體防火牆都是及其必要的。總體而言，NAI Gauntlet更像是一個給其他防火牆提供輔助功能的一個增強模組，讓它獨立擔綱，有點勉為其難。

　　5.NetScreen 科技的 NetScreen－100

　　和Cisco的PIX類似，NetScreen－100也執行專有作業系統。與執行在Intel平臺上的PIX不同，NetScreen使用專有 ASIC構成高效能防火牆，價格便宜而且易於安裝。我們發現它透過序列連線給介面分配IP地址的安裝辦法非常簡單。完成這一步之後，我們就可以透過 Netscape或者微軟的瀏覽器來進行進一步的工作。在不執行NAT時只有PIX和FireWall－1比NetScreen－100效能高，如果執行 NAT，NetScreen的效能不會降低，因而比FireWall－1的效能要好。

　　NetScreen是唯一不路由訊息包就讓它們透過的產品。使用這一功能，防火牆內的任何主機或者路由器可以繼續使用Internet路由器的閘道器地址，或者使用任何其它能訪問外部網路的路由器。這樣就不必在防火牆和外部路由器之間增加另外一個子網，也不需要把外部路由器的地址移動到防火牆的內部介面上來，這樣內部主機就不必更改它們的閘道器地址了。我們在正常防火牆和透明操作模式這兩種情況下都成功地進行了路由。

　　NetScreen防火牆的網路訪問控制是所有產品中最脆弱的。事實上，除了URL過濾和FTP，它沒有任何其他比簡單的包過濾更強大的功能。　

　　6.CyberGuard 公司的CyberGuard 防火牆

　　CyberGuard 防火牆和AXENT以及Secure Computing的產品都是基於代理技術的。儘管它也有一長串代理應用程式,但是它的代理功能遠沒有Raptor那樣豐富。CyberGuard包括允許對直接透過的資訊包進行過濾的選項。我們發現它的使用者介面非常粗糙和簡單。

　　CyberGuard加固了它自己的作業系統，使它的多虛擬安全環境（Multiple Virtual Secure Environments，MVSE)系統謹慎地隔離所有程式、檔案和目錄，只允許絕對必要的通訊透過CyberGuard。

　　它的使用者介面包括一個執行在防火牆監視器上的全螢幕控制檯，頂部的選單條上列著所有的基本應用程式。使用這個選單能勉強能訪問通用系統管理作業，比如 IP地址和路由配置等，這使得完成這些作業不是很輕鬆，這一點遠不如MS ISA SERVER 和Check Point FireWall-1。

　　它的實際防火牆策略在資訊包過濾視窗中建立，視窗的上半部分是規則列表，下半部分是編輯模板。編輯模板可以使你指定你想允許或者禁止的協議，可以快速建立日誌並且可以讓自己決定現在不想看哪些東西。你可以在每個規則的上面或者下面新增註釋，但是我們發現如果相關規則對應著自己的螢幕就會顯得凌亂不堪。

　　CyberGuard聲稱支援加密和金鑰管理的IPSec標準，但是目前這個應用程式還沒有透過ICSA認證。

　　總體而言，CyberGuard功能相對簡單，效能一般，適合中小型部門使用。

　　7. 3Com OfficeConnect Firewall

　　與MS ISA SERVER類似，3Com OfficeConnect Internet防火牆也可以用來控制區域網對Internet的使用，為小企業提供確保網路安全的廉價和高效的方法，使用者可以禁止訪問不恰當的資料，記錄哪些站點最常被訪問，以及Internet連線使用著多大的頻寬。..

　　產品評測：1) 3Com公司的OfficeConnect Firewall，使用全靜態資料包檢驗技術，可以防止非法的網路接入和防止來自Internet的“拒絕服務”攻擊，但防範其他攻擊的措施不多，這會使技術經驗有限的使用者無所適從。

　　2) OfficeConnect Internet Firewall可以限制區域網使用者對Internet的不恰當使用。DMZ可支援多達100個區域網使用者。這使區域網上的公共伺服器可以被 Internet訪問，又不會使區域網遭受攻擊。但效能相對較弱，只能用於50臺機器的中小行企業網路中。

　　3) OfficeConnect Internet Firewall可以使整個辦公室可以共享ISP提供的一個IP地址，從而節省費用，配置比較簡單。

　　4) OfficeConnect Internet Firewall最主要的問題在於防火牆的效能較差，功能模組比較單一且可配置選項少。主要優點是維護相對簡單，因為簡單嘛。

　　8. 清華紫光UNISECURE UF3500

　　UF3500防火牆具有防火牆和流量控制等功能，結合了網路級包過濾（Network-level Packet Filter）和應用級代理伺服器（Application-level Proxy Server）的功能。UF3500使使用者可以輕鬆地設定安全策略、頻寬優先順序和訪問記錄。

　　產品評測：1) UF3500防火牆同樣含有網路地址轉換（NAT）功能，可以隱蔽內部IP地址，增強了安全性，節約了從ISP得到的外部IP地址。

　　2) 具備簡單多級過濾、動態過濾和代理，可以透過資料包檢測，保護內部網路不被破壞，並且保護網路服務和重要的私人資料。

　　3)使用者可以配置的頻寬使用、網路傳輸和防火牆系統記錄，支援最大流量的控制，還以多優先順序方式保護重要任務的應用，但配置相對分散。

　　4)支援 URL過濾，可以按URL地址進行過濾，可分別允許或禁止同一IP上的多個虛擬主機。

　　5)支援基於SSL的瀏覽器管理介面，允許透過流行的Web瀏覽器使用https協議管理和配置防火牆，保證了防火牆管理的安全性和易用性。支援瀏覽器超時退出的功能，保證了管理員離開管理計算機後的安全。

　　6)其缺點是功能與效能相對偏弱，安全規則的定義範圍完備性不夠。不支援陣列效能，不適合高階應用。

　　9. 東方龍馬防火牆

　　東方龍馬防火牆將資訊分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用，它根據系統管理者設定的安全規則保護內部網路，同時提供訪問控制、網路地址轉換、透明的代理服務、資訊過濾、流量控制等功能。提供完善的安全性設定，透過高效能的網路核心進行訪問控制。

　　產品評測：1)支援動態設定過濾規則的功能，根據實際應用的需要，在建立應用服務的時候動態地增加一組規則，在服務結束的時候，自動地把規則刪除，這一點接近MS ISA SERVER的功能。

　　2) 支援雙向的網路地址轉換功能，同時支援一對一的靜態地址對映和多對一的動態地址對映兩種方式的地址轉換。

　　3) 具有比較簡單的抗攻擊和自我保護能力。透過體系結構來防範一系列外部駭客的攻擊，如抗IP假冒攻擊、抗特洛伊木馬攻擊等。

　　4) 提供GUI圖形化使用者介面對防火牆進行配置，並支援負載均衡技術，將使用者的服務請求分佈到多臺伺服器上面，但在這一點上，我們發現其沒有達到企業級陣列應用的效能指標。

　　10. 微軟網路安全和網路加速解決方案：Microsoft ISA Server 2000

　　Microsoft ISA Server 2000是微軟公司設計與開發的，產品全稱為Microsoft® Internet Security and Acceleration (ISA) Server 2000。

　　隨著因特網和電子商務技術發展，商務應用對網路速度提出了更高的要求。企業的商務應用不只是侷限於企業內部網，還需要透過企業外部網、因特網訪問其它企業的應用。在競爭非常激烈的市場經濟大環境中，對於一個企業來說，速度就是一切，為此商務因特網應用對網路的響應速度提出了更高的要求。所以，在現有的條件下，如何讓企業對外的訪問速度加倍，並且確保業務的運營環境通行無阻，安全可靠，已是企業刻不容緩的任務。

　　為了解決網路的整體安全，幫助企業組織控制在因特網及其內部網路間流通的資訊，同時幫助企業加快網路的速度，微軟公司推出了Microsoft® ISA Server 2000。

　　Microsoft® ISA Server 2000是Windows 2000 Server平臺上同時具有防火牆與網站快取的伺服器軟體。當使用者付費時會發現，用相近的價格買回的防火牆產品，居然同時具備了PROXY（代理伺服器）功能。這是我們拿到ISA SERVER後第一個感受。

　　Microsoft® ISA Server 2000提供多層次的企業級防火牆，並結合專用的防毒軟體，在企業Internet推出的第一道關卡，保護網路資源，避免病毒、駭客及未獲授權的存取行為，同時加速公司內部對內與對外的存取速度，節省Internet網路頻寬，並且向使用者提供更快的Web存取速度，進而進行統一Internet資源管理。

　　Microsoft® ISA Server 2000具備高度擴充套件能力的防火牆與網站快取伺服器，它與Windows® 2000整合，提供了基於策略（policy-based）的安全性，同時也具備快速存取與易於管理的網路功能。Microsoft® ISA Server 2000提供了兩個高度整合的模式：一個多層次的防火牆（firewall）與一個高效率的網站快取伺服器（Web cache server）。

　　防火牆提供了下列的功能：包（packet）、鏈路（circuit）與應用(Application)的過濾功能；檢查透過防火牆的資料的功能：存取策略（access policy）的控制（如下圖）：資訊流量的路由（routing）。快取功能透過將最常存取的網站內容儲存起來的方式，來改善網路的效率與使用者存取的速度。防火牆與快取可以分別被佈署在不同的伺服器上，也可佈署在同一臺伺服器上

　　Microsoft® ISA Server 2000巧妙設計的管理工具簡化了策略的定義、流量路由、伺服器釋出與監控等工作，並以智慧的管理介面，讓管理者可以輕鬆設定防火牆與企業內部網路的複雜環境.

　　Microsoft® ISA Server 2000建立在Windows® 2000的安全性、目錄服務、虛擬私有網路（VPN）與頻寬控制的基礎上，因此無論是分別佈署防火牆、網站快取，或是佈署為兩者兼具的整合模式， Microsoft® ISA Server 2000都能夠強化網路的安全性、強制實施一致的Internet使用原則、加速Internet的存取。

　　Microsoft® ISA Server 2000能夠在效率、管理、擴充套件性等各方面滿足Internet高流量的需求，同時它也具備集中管理、多層次存取原則與容錯的功能。Microsoft® ISA Server 2000 企業版為關鍵任務的Internet連線，提供了一個快速、安全與高擴充套件能力的環境。

　　這是我平時留意各廠家的一些資料集合起來的.防火牆的創始人是CHECKPOINT,所以無疑,他是最強的,世界上第一個針對應用層做過濾的防火牆是 ISA,所以他的賣點也是很明顯的.隨著企業的需求不斷複雜,不斷提高,硬體防火牆都開始效仿ISA的功能對應用層做處理了(原來的硬體防火牆只在低層次做過濾),最典型的是WATCHGUARD的防火牆,還有FOTINET等等.大家可以研究一些有代表性的產品,其他的都是千編一例