网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 防火墙 > 文章  
浴火坚“墙”——12款防火墙比较评测报告
文章来源: 《网络世界》评测实验室 文章作者: 潘永花 张峰 宋丽娜 发布时间: 2002-10-21   字体: [ ]
 

  高可用性

  负载均衡的功能现在在防火墙身上也开始有所体现,Netscreen-208支持防火墙之间的负载分担,而其他防火墙则支持服务器之间的负载均衡。

  目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口,实现防火墙之间的Active-Active高可用性。

  日志审计和警告功能

  防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量的日志信息,为了在繁多的日志中进行查询和分析,有必要对这些日志进行审计和管理,同时防火墙存储空间较小,因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都非常必要。

  安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NGFW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理,可以利用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务器的存储方式,包括Internal、Syslog、WebTrends、flash卡等。

  当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时,根据设定的规则,防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行报警程序等方式进行报警。

  对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分为负载日志、事件日志、自我日志三种,事件日志分为8个不同等级。

  优秀的文档很关键

  大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想、方正与安氏防火墙的印刷文档非常精美全面,内容涵盖了主流的防火墙技术以及产品的详细配置介绍,还举了很多实用的例子帮助用户比较快地配好防火墙,使用各种功能。得实NetST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释,非常有利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户手册,但缺憾在于它们全部是英文的。

  千兆防火墙

  此次总共收集到4款千兆防火墙产品,但北大青鸟在性能测试尚未完成时就自行退出,所以共测试完成了三款千兆防火墙,它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表,而SG2000H则是采用网络处理器的例子。

  从实现原理来看,三者都主要是基于状态检测技术,而在工作方式上,NetScreen-5200、阿姆瑞特F600+主要支持路由模式和桥模式,而ServGate SG2000H则支持桥模式和NAT模式。

  F600+支持DHCP中继代理,而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。在VLAN支持方面,NetScreen-5200的每个端口可以设定不同子端口,每个子端口可以支持不同的VLAN,可以非常容易集成到交换网络中。据称,该设备能够支持4000个VLAN。F600+与SG2000H也支持802.1Q VLAN。而且,还有一点可以指出的是NetScreen-5200支持OSPF、BGP路由协议。

  从管理上来看,NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主要通过在客户端安装GUI管理软件来进行管理,串口CLI命令功能很简单。从配置上来说,NetScreen-5200配置界面非常美观,菜单清晰,并提供了向导可以指导用户快速配置一些策略和建立VPN通道。SG2000H功能也比较强大,但配置起来比较复杂一点。阿姆瑞特的F600+在安装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上,非常方便用户使用,而该管理软件与防火墙之间则通过128位加密进行通信,有利于对多台防火墙的管理。

  在带宽管理上,F600+很有特色,它通过“管道”概念实现,每个管道可以具有优先级、限制和分组等特点,可以给防火墙规则分配一个或多个管道,还可以动态分配不同管道的带宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制进出的网络流量。

  在VPN支持方面,NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道,还支持DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN,而SG2000H未加VPN模块。在认证方法上,只有Netscreen-5200支持内置数据库、RADIUS、SecurID和LDAP。

  F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器,它虽然不支持在防火墙中记录日志,但能够在防火墙管理器中实时显示日志数据,还支持Syslog 日志服务器,提供灵活的审计报表,并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报表方面都支持著名的WebTrends软件和Syslog日志服务器,NetScreen还支持将日志通过flash卡、NetScreen Global Pro等方式进行处理。

--
原文链接: http://cnw2004.cnw.com.cn/issues/article.asp?filename=n24023.asp

 
推荐文章
·怎么样给企业级防火墙“体检”
·构建Linux系统下U盘路由器、防火
·安全基础:防火墙功能指标详解
·没有防火墙是可行的 但是并不理
·2005年度千兆防火墙公开比较评测
·没有防火墙的安全:明智还是愚蠢?
·使用防火墙封阻应用攻击的八项技
·防火墙与路由器的安全性比较
·防火牆安全管理
·netfilter: Linux 防火墙在内核
·再谈防火墙及防火墙的渗透
·一种新的穿透防火墙的数据传输技
 
 
共5页: 上一页 [1] [2] [3] [4] 5 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·网络安全保护神——免费
·防火墙技术综述
·教你命令行下配置Window
·2005年度千兆防火墙公开
·构建Linux系统下U盘路由
·Windows Vista系统防火
·Win XP SP2自带防火墙设
·怎样用ipchains构建防火
相关分类
相关文章
·防火墙与路由器的安全性
·不可不知:十七个防火墙
·使用防火墙封阻应用攻击
·没有防火墙的安全:明智
·Windows Vista系统防火
·ISS欲将防火墙防病毒合
·2005年度千兆防火墙公开
·没有防火墙是可行的 但
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $