当前位置: 王朝网络 >> other >> 防火墙选择哪一款

防火墙选择哪一款

王朝other·作者佚名 2008-05-19

防火墙是网络中重要的第一防线，越来越多的人认识到安装防火墙的重要性，因此我们对防火墙的性能和管理特点加以评测。有7个厂家参加了我们的评测，它们是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computing。

因为这7个厂家均获得国际计算机安全协会的认证资格，所以我们没有测试网络抵御攻击的能力。通过评测，我们发现这7个厂家在日渐成熟的防火墙市场中都很不错。所有7个厂家的产品均具有NAT功能；除Netscreen－100外，所有防火墙均支持VPN。

代理型与状态检测型的比较

代理型防火墙只允许被代理的协议通过，并且将数据重新打包。而状态检测型只检查数据包是否被允许通过，不影响网络性能。

Check Point、Cisco、Netscreen和NetGuard均使用状态检测技术，其总体性能比使用代理技术的AXENT、CyberGuard和Secure Computing的要强。其中，Cisco的PIX性能接近线速。

7种防火墙性能介绍

1.Check Point Firewall－1 4?0

Firewall－1提供了最佳权限控制、最佳综合性能及简单明了的管理。除了NAT外，它具有用户认证功能。对于FTP，可以根据put、set以及文件名加以限制。对于SMTP，它可以丢弃超过一定大小的邮件、对邮件进病毒扫描，以及改写邮件头信息。Firewall－1还可以防止有害SMTP命令(如debug)的执行。Firewall－1的用户界面是网络控制中心，定义和实施复杂的安全规则非常容易。每个规划还有一个域用于文档记录，如为什么制定这条规则，何时制定及由谁制定。通过OPSEC(安全企业连接开放平台)，Check Point提供与第三方厂家连接的API。

Firewall－1在NAT方面不尽如人意，可读性比较差。

2.AXENT Raptor

Raptor是代理型防火墙中最好的。它的界面易读、易操作，在实时日志方面，仅次于Firewall－1。Raptor的优势在于其代理的深度和广度。只有它提供对Microsoft NT服务器的保护。它还具有SQL＊NET代理功能，可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好，而且它是唯一可防止缓存溢出的防火墙，它可以代理NNTP(网络新闻传输协议)和NTP(网络时间协议)。

Raptor还提供IPsec兼容的VPN，但由于没有硬件辅助卡，所以在建立多个使用加密的连接时，CPU可能难以承受。

3.CyberGuard Firewall

Cyber Guard Firewall的代理性能不如Raptor，但它允许直接包过滤，用户界面简洁清晰，且更注重其操作系统的硬件化。它的MUSE(多重虚拟安全环境)只允许必要的通信。其用户界面只能在控制台上使用，而所有其他防火墙软件均独立于实际防火墙引擎运行。

4.Secure Computing SecureZone

Secure Zone代理功能很强，FTP代理可定制文件的创建、删改及put/get操作。SecureZone使用“类型强化”功能来区分所有进程，只允许必要的通信进入。其基于Java的用户界面简单可靠，采用独具一格的树形结构来制定规划。当有许多需要在不同层次上进行权限控制的VPN时，它非常有用。

但SecureZone不能扫描病毒。

5.Cisco PIX Firewall 520

PIX的处理性能是最好的，其吞吐可达150Mbps，而且使用NAT时不影响其性能。它可以防止有害的SMTP命令，但对FTP，它不能对get和put进行限制。

PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件，通过Web来访问，但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱，所有日志须送到另一台运行syslog的机器上。

6.Netscreen Netscreen－100

Netscreen使用专用的ASIC提供高性能的防火墙，既便宜又易于安装。安装后可通过Netscape或IE来进行所有的管理。Netscreen不进行路由而让包通过，因此，在防火墙内的主机或路由器，仍使用Internet路由器的网关地址进入外部网络，这免去了在防火墙和外部路由器之间增加子网的需要。

它的网络权限控制功能很弱，除了URL过滤及FTP，它只能做简单的包过滤。