防火墙对于一个网络的安全来说,就好比是防盗门对于一个家庭一样重要。随着国内安全市场的兴起,防火墙已经成为各大厂商争夺安全市场的门户产品。目前在中国市场上防火墙产品多得有点让人眼花缭乱,但无外乎是美国著名品牌与国内本土产品的比拼,可以说洋有洋的优点,土有土的特色。本栏目选取了目前市场上比较优秀的一部分产品,为广大用户做一个简要的特色介绍。
美国品牌NetScreen 硬件新贵
NetScreen公司的NetScreen防火墙产品是一种新型的网络安全硬件产品,目前其发展状况非常好,可以说是硬件防火墙领域内的新贵。NetScreen的产品完全基于硬件ASIC芯片,它就像个盒子一样安装使用起来很简单。同时它还是一种集防火墙、VPN、流量控制三种功能于一体的网络产品。
产品系列:
NetScreen 10适用于10M以太网,NetScreen 100适用于100M以太网,最新推出的NetScreen 1000则可以支持千兆以太网,适应不同场合的需要。
主要特色:
NetScreen把多种安全功能集成在一个ASIC芯片上,将防火墙、虚拟专用网(VPN)、网络流量控制和宽带接入这些功能全部集成在专有的一体硬件中,该项技术能有效消除传统防火墙实现数据加密时的性能瓶颈,能实现较高级别的Ipsec。
NetScreen防火墙的配置可在网络上任何一台带有浏览器的机器上完成,NetScreen的优势之一是采用了新的体系结构,可以有效地消除传统防火墙实现数据加盟时的性能瓶颈,能实现较高级别的IP安全保护。
Checkpoint Firewall 出色的老牌子
目前的最新产品是是Check Point FireWall-1 v4.1防火墙。Checkpoint Firewall-1是一个老牌的软件防火墙产品,它是软件防火墙领域中名声很好的一款产品,在世界范围内的软件防火墙中销售量业内知名。目前国内主要依靠代理商如清华得实、东方趋势等公司来进行中国市场的拓展。
主要特色:
新版本的FireWall-1主要增强的功能是在安全区域支持Entrust技术的数位证明(Digital Certificate)解决方案;以公用秘钥为基础,使用X.509的认证机制IKE。FireWall-1支持LDAP目录管理,可帮助使用者定义包罗广泛的安全政策。
FireWall-1提供顾客包含远端的使用者使用多种安全的认证机制,以存取企业资源。在通信被允许进行之前,FireWall-1认证服务可安全地确认他们身份的有效性,而不需要修改本地客户端应用软件。认证服务是完全地被集成到企业整体的安全政策内,并能经由FireWall-1图形使用者界面集中管理。所有的认证都能经由防火墙日志浏览(Log Viewer)来监视和追踪。FireWall-1提供三种认证方法:使用者认证,提供以使用者为基础的FTP、TELNET、HTTP,和RLOGIN的存取权限,跟使用者的IP位址无关;客户端认证能够使管理者授与存取的特权给予在特定IP位址的特定使用者;会话认证可以认证基于会话的任何一种服务。目前该产品支持的平台有Windows NT、Win9x/2000、Sun Solaris、IBM AIX、HP-UX等。
NAI Gauntlet 将防毒集于一身
这是一种基于软件的防火墙,支持NT和UNIX系统,目前的最新版本是Gauntlet Firewall 2.1 for NT/UNIX。
主要特色:
作为最高类型——基于应用层网关的Gauntlet防火墙,集成了NT的性能管理和易用性;应用层安全按照安全策略检查双向的通讯。具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性。可应用于Internet、企业内部网和远程访问。Gauntlet防火墙具有友好的管理界面,其基于Java或NT环境,可以运行在Web浏览器中,支持远程管理和配置,可从网络管理平台上监控和配置,如NT Server和HP OpenView。 Gauntlet还支持通过服务器、企业内部网、Internet来存取和管理SNMP设备。Gauntlet防火墙支持流行的多媒体实时服务,如Real Audio/Video、Microsoft NetShow、VDOlive。
Gauntlet防火墙支持众多的标准协议如终端服务(TELNET、rlogin)、文件传送(FTP)、电子邮件(SMTP、P0P3)、WWW(HTTP、SHTTP、SSL、Gopher) 、Usenet新闻(NNTP)、域名服务(DNS)、简单网络管理协议(SNMP)、Oracle SQL*Net、RealAudio/Video 、Xing、NetShow、VDOLive、LDAP、PPTP。
CyberwallPlus全方位的服务
CyberwallPlus系列防火墙是由网屹(Network-1)公司开发并进行销售的。CyberwallPlus系列防火墙是基于软件的防火墙,目前的最新版本是CyberwallPlus 6.0。
产品系列:
CyberwallPlus系列防火墙包括CyberwallPlus主机防火墙、CyberwallPlus-AP保护内部网络防火墙、CyberwallPlus-IP包过滤防火墙三种产品,其中CyberwallPlus又包含CyberwallPlus-WS工作站防火墙和CyberwallPlus-SV服务器防火墙两个类别。目前CyberwallPlus系列防火墙运行的平台是NT系统。
主机防火墙CyberwallPlus是为保护与互联网或企业网相连的Windows NT 4.0 和Windows2000工作站和服务器而设计的,它以先进的信息包过滤技术为基础,提供周密的网络访问控制、优化主机入侵检测、防止入侵算法和详细的流量审核日志。
CyberwallPlus-AP是高速的局域网防火墙,是为满足不断增长的内部网络安全需要而设计的。CyberwallPlus-AP运行在装有两个以太网卡Windows NT/2000的系统上,帮助用户的计算机网络抵御恶意的网络访问和入侵。CyberwallPlus-AP是一个有两个端口的系统,以透明的网桥模式工作,而不像大多数防火墙是路由模式,能够接受、过滤4500余种IP和非IP协议。CyberwallPlus-AP设计简单、有效,应用时,不需要破坏现有的网络地址或重新配置网络,甚至可以放在同一IP子网的节点之间。
CyberwallPlus-IP是保护专有网络抵御攻击和入侵的互联网防火墙,位于网络的周边,保护进出公共互联网流量的安全,是一个高经济效益的网络安全解决方案,提供多层次的包过滤检测,阻止未授权的网络访问。CyberwallPlus-IP作为先进的防火墙解决方案系列的一员,为用户提供强有力的安全保护功能,它具备高度的灵活性、可伸缩性,可以很好地适应用户对未来安全需求的变化。
Sonicwall 为SMB量体裁衣
Sonicwall系列防火墙是Sonic System公司针对中小企业需求开发的产品,有着很高的性能和极具竞争力的价格,适合中小企业用户采用,它是一款硬件防火墙。
产品系列:
Sonicwall系列防火墙包括Sonicwall/10 、Sonicwall/50、 Sonicwall/Plus、Sonicwall/Bandit和Sonicwall/DMZ Plus等。
主要特色:
其主要的功能是阻止未授权用户访问防火墙内网络;阻止拒绝服务攻击,并可完成Internet 内容过滤;实现IP地址管理,网络地址转换(NAT);制定网络访问规则,规定对某些网站访问的限制等。
该系列防火墙价格便宜,性能价格比很好,适合中小企业及SOHO办公环境采用。
本土产品
天融信网络卫士中国的名牌
天融信公司的网络卫士是我国第一套自主版权的防火墙系统,是一种基于硬件的防火墙,目前有FW-2000和 NG FW-3000两种产品。网络卫士防火墙由多个模块组成,包括包过滤、应用代理、NAT、VPN、防攻击等功能模块,各模块可分离、裁剪和升级,以满足不同用户的需求。管理器的硬件平台为能运行Netscape 4.0浏览器的Intel兼容微机,软件平台采用Win 9x操作系统。
主要特色:
网络卫士防火墙采用了领先一步的SSN(安全服务器网络)技术,安全性高于其他防火墙普遍采用的DMZ(非军事区)技术。SSN与外部网之间有防火墙保护,与内部网之间也有防火墙保护,一旦SSN受到破坏,内部网络仍会处于防火墙的保护之下。
网络卫士防火墙系统集中了包过滤防火墙、应用代理、网络地址转换(NAT)、用户身份鉴别、虚拟专用网、Web页面保护、用户权限控制、安全审计、攻击检测、流量控制与计费等功能,可以为不同类型的Internet接入网络提供全方位的网络安全服务。该系统在增强传统防火墙安全性的同时,还通过VPN架构,为企业网提供一整套从网络层到应用层的安全解决方案,包括访问控制、身份验证、授权控制、数据加密、数据完整性等安全服务。
紫光UnisFirewall 定位于大型ISP
清华紫光网联科技的UF3100/UF3500防火墙是一种基于硬件的防火墙,兼具防火墙和流量控制等功能,无丢包数据通过率达50Mbps,可以支持T3线路甚至局域网间的流量要求。UF3100/UF3500结构紧凑(设计高度仅1U),可放置在桌面或安装在标准机架上,是为机关或企业网内的宝贵数据提供最安全保护的硬件产品。
主要特色:
防火墙系统采用汇编语言编写网络层IP包处理的操作,充分发挥了CPU的能力。UF3100防火墙自身具有很高的安全性,完全消除了Y2K问题,保护内部网络,并形成一个完整的安全系统。UF3100提供了一个附加的功能,即采用VPN技术使得远程用户能通过互联网安全访问内部网络。UF-3100把整个网络分成外部网、DMZ隔离区、内部网三层结构,大大增强了网络的抗攻击性能。硬件外形采用标准的19英寸的结构,便于安装。
UF-3500防火墙是为ISP等大型机构设计使用的,数据通过率为70Mbps,还通过专门的FPGA实现了QoS,保证了视频、音频等实时应用程序的运行。UF3500还提供了硬件选项如保证更高加密强度的加密模块,支持未来功能的增加。
东大阿尔派网眼适于交换路由双环境
网眼防火墙NetEye是一种软件防火墙产品,目前最新的版本是NetEye2.0版本。
网眼防火墙NetEye 2.0集网络数据的监控和管理于一体,可以随时对网络数据的流动情况进行分析、监控和管理,以便及时制定保护内部网络数据的相应措施。该系统具有可靠性高、不易遭到攻击破坏等特点。网眼防火墙NetEye 2.0系统的管理主机和监控主机建立在一种独立安全的局域网络之内,而且通信数据经过了加密处理,提高了系统的安全性。
主要特色:
NetEye防火墙可以工作在交换和路由两种模式下,当防火墙工作在交换模式时,内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网,内网和DMZ区还可以有自己的第二级路由器,这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置;当防火墙工作在路由模式时,可以作为三个区之间的路由器,同时提供内网到外网、DMZ到外网的网络地址转换,也就是说,内网和DMZ都可以使用保留地址,内网用户通过地址转换访问Internet,同时隔绝Internet对内网的访问,DMZ区通过反向地址转换对Internet提供服务。
用户可以根据自己的网络情况和实际的安全需要来配置NetEye防火墙的工作模式。
东方龙马OLM 实现双向NAT
东方龙马公司在代理国外著名网络安全产品的同时推出了自己的防火墙产品OLM防火墙,它是一种硬件防火墙。
东方龙马防火墙综合运用了强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施。它根据系统管理者设定的安全规则保护内部网络,同时提供强大的访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置,通过高性能的网络核心进行访问控制。
主要特色:
OLM防火墙提供了“内部网到外部网”、“外部网到内部网”的双向NAT功能,同时支持两种方式的网络地址转换。一种为静态地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。另一种是更灵活的方式,可以支持多对一的映射,即内部的多台机器可以通过一个外部有效地址访问外部网络。让多个内部IP地址共享一个外部IP地址,就必须转换端口地址,这样内部不同IP 地址的数据包就能转换为同一个IP地址而端口地址不同,通过这些端口对外部提供服务。这种NAT转换可以更有效地利用IP地址资源,并且提供更好的安全性。
讯安SecuSF v2.01易安装、易管理
讯安SecuSF防火墙具有高效的信息分析能力和数据包过滤功能,为用户提供全面的访问控制、网络地址转换、应用代理服务并具有完善的审计记录功能。它采用独特信息代理通道技术,在保护内部网络的同时,实现内部信息对外发布。讯安SecuSF防火墙可在30分钟内完成安装、配置,是一种易于安装、便于管理的企业级软件防火墙产品。
产品特点:
● 方便、灵活的网络设置方案
SecuSF防火墙可支持两网卡或三网卡网络结构,用户可根据自身网络结构和实际的安全需求决定防火墙的网络配置方案,同时在防火墙使用过程中可根据网络结构的变化对防火墙的各地址进行重置。
● 智能化的安装过程
SecuSF防火墙产品自带经过系统优化和改造的安全操作系统,实现智能化安装过程,用户无须经过特殊培训,只须准备一台普通计算机,在30分钟之内即可建立起一道保护内部网络的安全屏障。
● 方便的远程管理模式
SecuSF防火墙采用客户/服务器系统结构,通过专用的远程管理程序方便管理员可对防火墙进行日常设置、管理。远程管理程序可支持Windows98、2000及Windows NT操作系统。
上海华依花一分钱办十分事
华依防火墙是一种基于硬件的防火墙。华依防火墙采用一体化的硬件设计,提供高密度的机柜集成度,系统与硬件紧密结合,减小用户物理空间占用体积,主机负载冗余功能使系统可以根据连接数目自动重定向目的主机。华依防火墙提供三个网络接口。三个接口分别连接内网,外网和DMZ端,这就从物理上使企业的内部网络与外部网络隔离开。来自内部和外部的各种连接请求,通过应用程序在三个接口间完成数据交换。不依赖于网络结构或操作系统,它的独立性、实时性和稳定性将为用户提供最大程度的安全。
产品系列:
目前的产品有HY-F2000K型百兆硬件防火墙、HY2000-F-I型防火墙(10M,带ISDN接口)、HY2000-F-P型防火墙(10M,带PSTN接口)以及华依千兆防火墙。
特色产品:
华依千兆防火墙是千兆位硬件防火墙系统,它适用于服务器集群、数据中心、高容量电子商务网站、大容量数据仓库等环境。它的容错特性、冗余电源支持、双机热备份以及带宽管理和控制功能等多种安全功能为千兆以太网络环境提供强大的安全保护。
高阳信安DS2000 抗各种攻击
高阳信安公司是一家刚刚成立的安全公司。
DS2000防火墙系统采用智能分析技术,实现IP包智能过滤,并能够对抗多种电子欺骗和网络攻击手段。同时,运用了模块嵌入系统核心、高性能HASH表等先进的优化技术,加快了数据访问速度,解决了普通防火墙系统的“网络瓶颈”问题。
主要特色:
● 抗攻击能力
DS2000防火墙系统具有完善的抗攻击体制,可以有效抵御如IP假冒攻击、PING攻击、极小碎片攻击等多种攻击手段。
● 防电子欺骗(IP地址欺骗):通过在过滤规则中指定来自于外部网络的数据包不能拥有内部网络的地址,可以防止外部入侵者的IP地址欺骗行为。
● 攻击检测功能:DS2000防火墙系统能够检测到入侵者对防火墙或网络内主机的端口扫描和多种拒绝服务攻击。
● 攻击响应功能:对于检测到的攻击行为,配合系统过滤规则和审计系统,实时响应并详细记录。
中科网威“长城”灵活多变
中科网威“长城”防火墙(Netpower Firewall)是一种基于软件的防火墙,它拥有独特的系统体系结构设计,能把高速的运行能力、强有力的安全性能和简单易用、方便操作等特点有机结合在一起,为企业的重要数据和内部网络系统提供了一层可靠的安全保障。
“长城”防火墙能提供内容控制、日志管理、入侵探测、远程管理等多种功能,其采用专用的系统平台,保证了自身体系结构的可靠性,消除了软件类防火墙由于操作系统平台本身引起的安全问题,而且“长城”防火墙无用户数限制,使得大型机构能充分享受到价格的优惠。
主要特色:
● 提供基于时间、基于地址的存取控制模式;
● 检测SYN攻击、检测Tear Drop攻击、检测Ping of Death攻击、 检测IP Spoofing攻击、默认数据包拒绝、过滤源路由IP、动态过滤访问;
● 提供telnet、ftp、http等常用协议的支持;
● 提供可视化、可听化、系统日志等告警方式;
● 提供标记、口令等身份认证方式;
● 提供图表式配置管理功能;
海信8341 管理界面简便
海信8341防火墙具有自主知识产权,在许多方面具有创新,已经取得多项专利,是一种基于硬件的防火墙。8341防火墙根据系统管理者的安全规则(Security Rules)把守网络的大门,提供访问控制、身份认证、网络地址转换、VPN、流量控制等14项功能;可以将被保护的网络内部拓扑结构屏蔽起来,增强网络的安全性能,同时可以实施较强的数据流量监控。
主要特色:
海信8341防火墙使用自行设计具有创新的全中文化的WWW管理界面,通过直观、易用的界面管理强大、复杂的系统功能。8341防火墙采用全金属外壳,结构紧凑合理并兼有屏蔽和散热作用,为网内的敏感数据提供最安全的保护。8341防火墙基于的操作系统平台是Linux系统。
正有网络超级防火墙用功能组合实现防火
正有防火墙ZYNetWall是为保护关键业务网络而开发的一套功能全面、技术先进、高安全性的专业化网络安全产品,可对接入Internet的关键业务网络提供全面的安全防护。根据网络管理者制定的综合安全策略,可提供访问控制、身份认证、网络地址转换、入侵检测等一整套安全服务功能,达到防止外部攻击、保护内部网络、解决网络安全边界问题的目的,从而使网络系统的整体安全达到较高的安全水准。
主要特色:组合式防火墙技术。
正有超级防火墙ZYSuperWall的组合式防火墙技术,融合了分组过滤、应用代理型防火墙和透明代理技术,既有分组过滤的高速、透明代理的灵活,又有应用代理的安全。
正有超级防火墙对关键网络服务(HTTP、SMTP、FTP)可提供应用代理控制,并可通过虚拟主机的方式,实现隐藏内部网络具体拓扑结构、集中控制对外开放的资源的目标;对常用网络服务可采用快速的包过滤机制,保证了系统的高速性、通用性;而对安全需求介于两者之间,既需要简单的安全认证,又对流量有较高的要求,则可以选择透明代理机制。这给用户提供了很大的灵活性,用户完全可以根据对具体业务系统的安全需求而选择不同的安全控制策略和安全防护手段。这种灵活的控制策略,既有分组过滤的高速,又有应用代理的安全,用户可以根据具体的安全需求,在高效与安全之间加以选择。
转载地址:http://www.netsp.com.cn/Article/netsafe/FW/200506/20050602132614.html
