Ⅰ 請詳細比較下 山石網科 神州數碼 天融信 深信服 迪普 網御星雲 這幾家公司的平台,以及員工待遇,謝謝!!
這個問題我可能比較有發言權,曾是上述某廠商中的防火牆產品經理,友商競爭分析是必修課程之一。
先說結論:都一樣。
這個問題就像在問 小米 魅族 oppo 華為哪一家的手機靠譜;比亞迪 吉利 長城 五菱 哪一家的車靠譜
無價格無場景無需求,我只能說都差不多。所以回答這個問題要從兩個方面回答,並且前提是同價位
1、硬體:先把國內防火牆廠商分成兩大陣營:自研硬體與非自研硬體,又或者多核與x86;可稱之硬體自研的有華為、華三、迪普和山石,他們是有硬體研發能力的,好處是設備性能穩定性較好,相對成本會低一些,這也是運營商集采幾乎都是這幾家參與的原因,多核的缺點就是功能開發不夠靈活,並且開啟應用層功能後,整機性能下降較為嚴重。其他廠商是用的x86工控機裝centos然後運行自己的軟體,本質上他們屬於軟體開發者,好處是產品功能豐富,界面友好,但高吞吐場景下(實際吞吐20G以上)穩定性欠佳,缺少快轉模塊,轉發及高並發處理能力差,還有就是雙機組網只是最簡單的vrrp,切換慢,無法滿足此場景的要求。不過呢,一般企業 政府 學校出口就幾個G,數據中心和運營商才會用到這么大吞吐。幾十G上百G的場景hw h3c dp hillstone都是有機框式設備,其他幾家只有天融信有但運營商場景幾乎沒見過.啟明也有但是近幾年新產品,場景和案例較少. 所以硬體這方面,在高吞吐場景下,自研硬體廠商靠譜,哦對了自研硬體廠商還有個特點就是埠非常多,以華為華三為代表,一個千兆防火牆能有十幾個千兆介面,當交換機都沒問題
2、軟體:上面提到非自研硬體廠商的產品特點是基於x86架構的開發,相對開發比較靈活,不同於mips架構底層硬體驅動兼容性問題較多.所以這類廠商的功能非常豐富,各種花里胡哨的功能都有,尤其以深信服為首。但需要清楚的一點,防火牆本質是安全防護,訪問控制,即狀態檢測+威脅識別。
狀態檢測是一個很成熟的技術各家都差不多沒啥新花樣,無非是加一些應用層的行為識別,比如上網行為管理、app識別、終端和泄密(文本)檢測等。最主要的是威脅識別,即入侵防禦系統(IPS)+防病毒(AV),這個要求廠商有自己的識別演算法和特徵庫,最近幾年又流行未知威脅檢測.
這里要補充一下上述幾家的起家,華為華三就不多說了都知道是搞數通起家的,最近幾年才開始在安全方面發力,缺少專業安全團隊,天融信是搞防火牆起家的,國內最早做防火牆的廠商,網康最開始是做上網行為管理,後和網神合並,目前叫奇安信。深信服是上網行為管理+VPN,所以你看,這幾家都不是專業搞安全出身的。國內安全廠商安全起家的有啟明星辰和綠盟,啟明最初是賣入侵檢測,一個比較吃特徵庫的產品,並且有自己專門的攻防團隊,綠盟早期是綠色兵團那幫黑客,(綠盟起家還挺好玩,一波多折有空再講)最初產品是漏洞掃描,也是比較吃特徵庫,有自己的專業攻防團隊,所以拼特徵庫的話,題目的這幾家都半斤八兩,不過特徵庫只能防禦已知威脅,就是說先有的攻擊,提取特徵,才能加到特徵庫里,那麼特徵庫多點少點沒啥大影響其實,畢竟鬧得比較大的病毒都是新型的病毒,所以這幾家其實,半斤八兩。
Ⅱ 求助 神州數碼DCFW-1800S-L 網路安全高手進
能PING通外網就不可能是線的問題.
1:極可能是你的埠映射不對造成的.
2:你防火牆設置不對.
這種問題得視具體情況解決.
Ⅲ 神州數碼網路有限公司的發展簡史
1997年神州數碼進入網路市場;
1999年推出自有品牌的全系列網路產品;
2000年正式組建神州數碼網路有限公司,成為國內領先的網路互聯設備及解決方案提供商;
2002年,在國內率先提出了構建智能、安全企業級骨幹網的思想,並推出了運營商級的核心路由交換機;
2003年,提出了建設智能、安全、可運營網路的方向和構建3S網路的架構;
2004年,在「分布安全、有序管理」的主題下,發布了基於各個層級網路應用的企業網全線網路新品,全面提出D2SMP分布式安全域管理策略,詮釋了新一代網路的最新技術主張;
2005年,針對目前的網路安全狀況適時提出了3D-SMP(Dynamic Distributed Defense-Security、Management、Policy)解決方案,該方案是以安全管理平台DC-GSM為核心,以神州數碼防火牆、網路入侵檢測系統、安全管理平台、802.1X交換機、802.1X客戶端、DDP桌面保護系統為組成部分的網路安全解決方案;
2005年6月一次性通過全球「IPv6 Ready」認證測試,從IPv6 Ready Logo Committee獲取IPv6 Ready Phase-1的認證。2005年9月順利通過IPv6 Ready Phase-2的認證測試,使神州數碼網路公司成為國內首家通過IPv6 Ready Phase-2認證的廠商,在IPv6方面成為國內領先企業,技術研發進一步保持國內外一線廠商行列。
Ⅳ 黑客愁是神州數碼的防火牆產品嗎
是。黑客愁是神州數碼研發出的最新一代防火牆產品,列裝各大資料庫和伺服器,發行於2022年,主要工作於主機或網路的邊緣,對經由的報文根據預先定義的規則(匹配條件)進行檢測,對於能夠被規則匹配到的報文實行某預定義的處理。
Ⅳ 校園網用神州數碼連局域的問題
弄個路由器,100多塊錢,把網線都扎路由器上就行了
Ⅵ 使用學校的神州數碼登陸網路,但經常出現可以登陸qq,網頁卻打不開的情況,苦惱中,殷切期待答案!謝謝!
如果大家都這樣你可以只看前五項,後面的幾項這是對於個人電腦的
-大部分是前五種情況:
一、IE設置的問題
這種原因比較多出現在需要手動指定IP、網關、DNS伺服器聯網方式下,及使用代理伺服器上網的。仔細檢查計算機的網路設置。
二、DNS伺服器的問題
當IE無法瀏覽網頁時,可先嘗試用IP地址來訪問,如果可以訪問,那麼應該是DNS的問題,造成DNS的問題可能是連網時獲取DNS出錯或DNS伺服器本身問題,這時你可以手動指定DNS服務(地址可以是你當地ISP提供的DNS伺服器地址,也可以用其它地方可正常使用DNS伺服器地址。)在網路的屬性里進行,(控制面板—網路和拔號連接—本地連接—右鍵屬性—TCP/IP協議—屬性—使用下面的DNS伺服器地址)。不同的ISP有不同的DNS地址。有時候則是路由器或網卡的問題,無法與ISP的DNS服務連接,這種情況的話,可把路由器關一會再開,或者重新設置路由器。
還有一種可能,是本地DNS緩存出現了問題。為了提高網站訪問速度,系統會自動將已經訪問過並獲取IP地址的網站存入本地的DNS緩存里,一旦再對這個網站進行訪問,則不再通過DNS伺服器而直接從本地DNS緩存取出該網站的IP地址進行訪問。所以,如果本地DNS緩存出現了問題,會導致網站無法訪問。可以在「運行」中執行ipconfig /flushdns來重建本地DNS緩存。
三、IE瀏覽器本身的問題
當IE瀏覽器本身出現故障時,自然會影響到瀏覽了;或者IE被惡意修改破壞也會導致無法瀏覽網頁。
四、網路防火牆的問題
如果網路防火牆設置不當,如安全等級過高、不小心把IE放進了阻止訪問列表、錯誤的防火牆策略等,可嘗試檢查策略、降低防火牆安全等級或直接關掉試試是否恢復正常。
五、網路協議和網卡驅動的問題
IE無法瀏覽,有可能是網路協議(特別是TCP/IP協議)或網卡驅動損壞導致,可嘗試重新網卡驅動和網路協議。
六、HOSTS文件的問題
HOSTS文件被修改,也會導致瀏覽的不正常,解決方法當然是清空HOSTS文件里的內容。
七、系統文件的問題
當與IE有關的系統文件被更換或損壞時,會影響到IE正常的使用,這時可使用SFC命令修復一下,WIN98系統可在「運行」中執行SFC,然後執行掃描;WIN2000/XP/2003則在「運行」中執行sfc /scannow嘗試修復。 也可以用winsock.exe工具修復。
其中當只有IE無法瀏覽網頁,而QQ可以上時,則往往由於winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系統下存在)等文件損壞或丟失造成,Winsock是構成TCP/IP協議的重要組成部分,一般要重裝TCP/IP協議。但xp開始集成TCP/IP協議,所以不能像98那樣簡單卸載後重裝,可以使用 netsh 命令重置 TCP/IP協議,使其恢復到初次安裝操作系統時的狀態。具體操作如下:
點擊「開始 運行」,在運行對話框中輸入「CMD」命令,彈出命令提示符窗口,接著輸入「netsh int ip reset c:\resetlog.txt」命令後會回車即可,其中「resetlog.txt」文件是用來記錄命令執行結果的日誌文件,該參數選項必須指定,這里指定的日誌文件的完整路徑是「c:\resetlog.txt」。執行此命令後的結果與刪除並重新安裝 TCP/IP 協議的效果相同。
小提示:netsh命令是一個基於命令行的腳本編寫工具,你可以使用此命令配置和監視Windows 系統,此外它還提供了互動式網路外殼程序介面,netsh命令的使用格式請參看幫助文件(在令提示符窗口中輸入「netsh/?」即可)。
第二個解決方法是修復以上文件,WIN9X使用SFC重新提取以上文件,WIN2000/XP/2003使用sfc /scannow命令修復文件,當用sfc /scannow無法修復時,可試試網上發布的專門針對這個問題的修復工具WinSockFix,可以在網上搜索下載。
八、殺毒軟體的實時監控問題
這倒不是經常見,但有時的確跟實時監控有關,因為現在殺毒軟體的實時監控都添加了對網頁內容的監控。舉一個實例:KV2005就會在個別的機子上會導致IE無法瀏覽網頁(不少朋友遇到過),其具體表現是只要打開網頁監控,一開機上網大約20來分鍾後,IE就會無法瀏覽網頁了,這時如果把KV2005的網頁監控關掉,就一切恢復正常;經過徹底地重裝KV2005也無法解決。雖然並不是安裝KV2005的每台機子都會出現這種問題,畢竟每台機子的系統有差異,安裝的程序也不一樣。但如果出現IE無法瀏覽網頁時,也要注意檢查一下殺毒軟體。
九、Application Management服務的問題
出現只能上QQ不能開網頁的情況,重新啟動後就好了。不過就算重新啟動,開7到8個網頁後又不能開網頁了,只能上QQ。有時電信往往會讓你禁用Application Management服務,就能解決了。具體原因不明。
十、感染了病毒所致
這種情況往往表現在打開IE時,在IE界面的左下框里提示:正在打開網頁,但老半天沒響應。在任務管理器里查看進程,(進入方法,把滑鼠放在任務欄上,按右鍵—任務管理器—進程)看看CPU的佔用率如何,如果是100%,可以肯定,是感染了病毒,這時你想運行其他程序簡直就是受罪。這就要查查是哪個進程貪婪地佔用了CPU資源.找到後,最好把名稱記錄下來,然後點擊結束,如果不能結束,則要啟動到安全模式下把該東東刪除,還要進入注冊表裡,(方法:開始—運行,輸入regedit)在注冊表對話框里,點編輯—查找,輸入那個程序名,找到後,點滑鼠右鍵刪除,然後再進行幾次的搜索,往往能徹底刪除干凈。
有很多的病毒,殺毒軟體無能為力時,唯一的方法就是手動刪除。
十一、無法打開二級鏈接
還有一種現象也需特別留意:就是能打開網站的首頁,但不能打開二級鏈接,如果是這樣,處理的方法是重新注冊如下的DLL文件:
在開始—運行里輸入:
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll (注意這個命令,先不用輸)
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
注意:每輸入一條,按回車。第二個命令可以先不用輸,輸完這些命令後重新啟動windows,如果發現無效,再重新輸入一遍,這次輸入第二個命令。
十二、網卡問題
網卡啟用了BOOT ROM晶元的引導功能,而且網卡帶有PXE的引導晶元之後所造成的。可以這樣解決:
①如果網卡是集成在主板上的,或者將網上的啟動程序寫進了BIOS中,可以從BIOS設置中修改系統的引導順序,如設置硬碟最先引導,或者從BIOS中禁止網卡啟動系統。
②如果網卡不是集成的,則可以拔掉網卡上的引導晶元或者用網卡設置程序,禁止網卡的BootROM引導功能也可以關機,然後在開機之後,當出現「Press Shift-F10 Configure……」時,馬上按「Shift+F10」組合鍵,進入菜單之後,從第4行中將Boot order rom設置為disable,然後按F4鍵保存退出。
十三、代理上網問題
安裝了代理伺服器上網的朋友,可以先停止運行所有代理伺服器軟體,例如WINGATE 、SYGATE、WINDOWS的INTERNET連接共享(ICS)等等,直接登陸看看故障能否排除,如果停止運行代理伺服器軟體後故障排除,那可以肯定是代理服務軟體的問題。
Ⅶ 北京神州數碼網路公司怎麼樣
神州數碼控股有限公司作為聯想控股有限公司旗下的子公司之一,是國內最大的IT產品分銷商、專業系統集成商和網路產品供應商之一。
神州數碼網路的產品線包括面向企業級骨幹網和城域網的路由交換機、智能交換機、路由器、網路安全產品、寬頻接入產品、無線區域網產品、VoIP產品、視頻產品、網路管理系統、用戶管理系統等產品系列,以及面向中小企業和個人用戶的soho級產品.
1997年,神州數碼進入網路市場;
1999年,推出自有品牌的全系列網路產品;
2000年,正式組建神州數碼網路有限公司,成為國內領先的網路互聯設備及解決方案提供商;
2002年,在國內率先提出了構建智能、安全企業級骨幹網的思想,並推出了運營商級的核心路由交換機;
2003年,提出了建設智能、安全、可運營網路的方向和構建3S網路的架構;
2004年,在「分布安全、有序管理」的主題下,發布了基於各個層級網路應用的企業網全線網路新品,全面提出D2SMP分布式安全域管理策略,詮釋了新一代網路的最新技術主張;
2005年,針對目前的網路安全狀況適時提出了3D-SMP(Dynamic Distributed Defense-Security、Management、Policy)解決方案,該方案是以安全管理平台DC-GSM為核心,以神州數碼防火牆、網路入侵檢測系統、安全管理平台、802.1X交換機、802.1X客戶端、DDP桌面保護系統為組成部分的網路安全解決方案;
2005年6月,一次性通過全球「IPv6 Ready」認證測試,從IPv6 Ready Logo Committee獲取IPv6 Ready Phase-1的認證。
2005年9月,順利通過IPv6 Ready Phase-2的認證測試,使神州數碼網路公司成為國內首家通過IPv6 Ready Phase-2認證測試的廠商,在IPv6方面成為國內領先企業,技術研發進一步保持國內外一線廠商行列。
目前,神州數碼網路有限公司業務范圍涵蓋區域網、廣域網、無線網、城域網及寬頻接入網等領域。
神州數碼網路主動把握用戶需求,始終堅持「專注行業,隨需而動」。經過多年的積累,立足研發,建立了為用戶提供多種客制化產品和全套解決方案的快速響應機制。
神州數碼網路在教育、運營商、政府、企業、金融、軍隊、公安、電力、醫療等各行各業深受用戶信賴,並取得驕人的成績,不但進入了電子政務IT100強,還獲得了中國通信業「電信綜合實力五十強」和「服務電信IT企業十強」的榮譽,在教育行業更成為用戶首選品牌。
Ⅷ 深圳神州數碼雲科信息安全有限公司怎麼樣
簡介:深圳神州數碼雲科信息安全有限公司,是神州數碼雲科信息技術有限公司旗下擁有自主安全品牌和知識產權的專業子公司,目前擁有多項自主知識產權安全產品,覆蓋從傳統基礎網路安全領域,到應用層安全防禦方案,以軟體定義安全為技術主線,兼容傳統架構和雲架構,為客戶提供具備可編程能力的一系列動態防禦解決方案,針對不同行業安全需求,為客戶提供基於攻擊場景的安全解決方案。與此同時,雲科安全結合國內外國家主流安全廠商技術,將分離的孤立的安全產品堆砌,變為動態的、有邏輯的生態防禦體系,以事件應對的視角幫助客戶充分徹底地實現多個安全技
法定代表人:葉海強
成立時間:2016-12-27
注冊資本:5000萬人民幣
工商注冊號:440301118468681
企業類型:有限責任公司
公司地址:深圳市南山區粵海街道科發路8號金融服務技術創新基地1棟11樓F1
Ⅸ 學校的神州數碼網路dcsm客戶端用的是什麼網,聯通還是電信,還是校園網
校園網是類似於區域網、廣域網概念的網路
使用聯通、電信、教育網這個是指的網路出口
神州數碼DCSM是「神州數碼內網安全管理系統」的簡稱,並不能確定網路出口使用的運營商
建議通過ip.cn、ip138.com等網站查看外網出口IP地址,以確定使用的運營商
Ⅹ 神州數碼DCFW-1800防火牆如何設置ip帶寬限制
LZ好,作為企業用戶首選的網路安全產品,防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據,《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。
《網路世界》評測實驗室依然本著科學、客觀公正的原則,不向廠商收取費用,向所有
希望參加評測的廠商開放。
我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品,其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW,聯想網御2000,NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆,千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下,順
利完成了對其他12款產品的評測任務。
測試內容主要涵蓋性能、防攻擊能力以及功能三個方面,這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備,利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時,為准確判定被攻擊方收到的包是否是攻擊包,我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。
在功能測試方面,我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。
最後,我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司,同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。
性能綜述
對於網路設備來說,性能都是率先要考慮的問題。與其他網路設備相比,防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。
在我們測試的過程中,感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性,從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
,目前主要有三種,一種使用ASIC體系,一種採用網路處理器(NP),還有一種也是最常見
的,採用普通計算機體系結構,各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響,目前防火牆軟體平台有的是在開放式系統(
如Linux,OpenBSD)上進行了優化,有的使用自己專用的操作系統,還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小,測試防火牆性能時
將防火牆配置為最簡單的方式:路由模式下內外網全通。
我們此次測試過程中,針對百兆與千兆防火牆的性能測試項目相同,主要包括:雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率;單向性能測試項目包括吞吐量、10%線速下的延
遲;起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。
百兆防火牆性能解析
作為用戶選擇和衡量防火牆性能最重要的指標之一,吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中,64位元組幀,安氏領信防火牆表現最為
出眾,達到了51.96%的線速,NetsScreen-208也能夠達到44.15%,
在單向吞吐量測試中,64位元組幀長NetScreen-208防火牆成績已經達到83.60%,位居第一
,其次是方正方御防火牆,結果為71.72%。
延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明,聯想網御200
0與龍馬衛士的數值不分伯仲,名列前茅。
幀丟失率決定防火牆在持續負載狀態下應該轉發,但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性,吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下,NetScreen-208在256、512和1518位元組幀下結果為0,64位元組幀下結果為5
7.45%。
一般來講,防火牆起NAT後的性能要比起之前的單向性能略微低一些,因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。
最大並發連接數決定了防火牆能夠同時支持的並發用戶數,這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標,尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首,而龍馬衛士防火牆結果也
達到80萬。
我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接,考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。
Syn Flood目前是一種最常見的攻擊方式,防火牆對它的防護實現原理也不相同,比如,
安氏領信防火牆與NetScreen-208採用SYN代理的方式,在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流,兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。
Teardrop攻擊測試將合法的數據包拆分成三段數據包,其中一段包的偏移量不正常。對
於這種攻擊,我們通過Sniffer獲得的結果分析防火牆有三種防護方法,一種是將三段攻擊包
都丟棄掉,一種是將不正常的攻擊包丟棄掉,而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆,還有一種是將第二段丟棄,另外兩段分別穿過防火牆,這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
,神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況,Netscreen-208屬於
第三種情況。
對於Ping Sweep和Ping Flood攻擊,所有防火牆都能夠防住這兩種攻擊,SG-300防火牆
過濾掉了所有攻擊包,而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過,但大部分攻擊包都能夠被過濾掉,這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。
千兆防火牆性能結果分析
由於千兆防火牆主要應用於電信級或者大型的數據中心,因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說,三款千兆防火牆之間的差異相當大,但性能結
果都明顯要高於百兆防火牆。
雙向吞吐量測試結果中,NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯,NetScreen-5200的雙向10%線速下的延遲相當低,64位元組幀長僅為4.68祍,1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後,NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式,所有隻測了NAT 結果,該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明,NetScreen-5200防火牆達到100萬。
在防攻擊能力測試中, 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好,沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊, NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包,SG2000H防火牆測試時對發送的45個攻擊包,丟棄了後面的兩個攻擊
包,這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時,F600+防火牆丟棄了所有的
攻擊包,ServGate-2000防火牆只保留了第一個攻擊包,NetSreen-5200防火牆則保留了第一
和第三個攻擊包,這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。
功能綜述
在我們此次測試防火牆的過程中,感受到了不同防火牆產品之間的千差萬別,並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。
包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術,從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。
在工作方式方面,大部分防火牆都支持路由模式和橋模式(透明模式),來自ServGate
公司的SG300和SG2000H,其工作方式主要是橋模式和 NAT模式,沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。
百兆防火牆
與交換機走向融合?
當我們拿到要測試的防火牆時,有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口,正在朝向多個埠方向發展,帶有4個埠的防火牆非常常見,我們都知道三個埠是用
來劃分內網、外網和DMZ區,那麼增加的第4個埠有什麼用呢?不同產品差別很大,但以用
作配置管理的為主,安氏的防火牆將該埠作為與IDS互動的埠,比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠,Netscreen-208有8個固定埠,Netscreen-5200
則是模塊化的千兆防火牆,可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊,這顯示了防火牆與交換機融合的市場趨勢。
對DHCP協議的支持方面,防火牆一般可以作為DHCP信息的中繼代理,安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端,這是非常獨特的地方。
在VLAN支持方面,Netscreen防火牆又一次顯示了強大的實力。與交換機類似,Netscre
en-208支持每個埠劃分為子埠,每個子埠屬於不同的VLAN,支持802.1Q,並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸現
管理功能是一個產品是否易用的重要標志,對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。
不同的防火牆對管理員的許可權分級方式不同,但總的來說,不同的管理員許可權在保護防
火牆的信息的同時,通過三權分立確保了防火牆的管理者職責分明,各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。
目前,對防火牆的管理一般分為本地管理和遠程管理兩種方式,具體來說,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講,像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式,非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂,對於很多用戶來說使
用會比較困難,而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了,這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然,很多防火牆的CLI命令
功能比較簡單,主要功能還是留給了GUI管理軟體,方正、聯想防火牆是非常典型的例子。
從易用性的角度來講,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象,漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面,同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然,對於要集中管理
多台防火牆來說,GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。
帶寬管理正在成為防火牆中必不可少的功能,通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量,對不同的用戶,每天分
配固定的流量,當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。
VPN和加密認證
防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec,這6款防火牆都提供了良好的支持。
安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法,如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然,加密除了用於VPN之外,遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。
在身份認證方面,防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准,這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證,認證過程採用一次性口令(OTP)的協議SKEY,可以抵抗網路竊
聽。
防禦功能
防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描,使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。
在病毒掃描方面,表現最突出的當屬聯想網御2000,它集成了病毒掃描引擎,具有防病
毒網關的作用,能夠實時監控HTTP、FTP、SMTP數據流,使各種病毒和惡意文件在途徑防火牆
時就被捕獲。
在內容過濾方面,大部分防火牆都支持URL過濾功能,可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊,為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾,能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。
在防禦攻擊方面,Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項,用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外,還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動,以實現更強勁的防攻擊能力。
安全特性
代理機制通過阻斷內部網路與外部網路的直接聯系,保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。
參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能,包括HTTP、SMTP、POP3
、FTP等,從而能夠屏蔽某些特殊的命令,並能過濾不安全的內容。
NAT通過隱藏內部網路地址,使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路,從而可以在一定程度上保護內
部網路。另一方面,NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能,雖然大家叫的名稱不同,但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。
高可用性
負載均衡的功能現在在防火牆身上也開始有所體現,Netscreen-208支持防火牆之間的負
載分擔,而其他防火牆則支持伺服器之間的負載均衡。
目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠,實現防火牆之
間的Active-Active高可用性。
日誌審計和警告功能
防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息,為了在繁多的日誌中進行查詢和分析,有必要對這些日誌進行審計和管理,同
時防火牆存儲空間較小,因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。
安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理,可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式,包括Internal、Syslog、WebTrends、flash卡等。
當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時,根據設定的規則,
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。
對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種,事件日誌分為8個不同等級。
優秀的文檔很關鍵
大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面,內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹,還舉了很多實用的例子幫助用戶比較快地配好防火牆,使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋,非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊,但缺憾在於它們全部是英文的。
千兆防火牆
此次總共收集到4款千兆防火牆產品,但北大青鳥在性能測試尚未完成時就自行退出,所
以共測試完成了三款千兆防火牆,它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表,而SG2000H則是采
用網路處理器的例子。
從實現原理來看,三者都主要是基於狀態檢測技術,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式,而ServGate SG2000H則支持橋模式和NAT模式
。
F600+支持DHCP中繼代理,而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面,NetScreen-5200的每個埠可以設定不同子埠,每個子埠可以支持不
同的VLAN,可以非常容易集成到交換網路中。據稱,該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且,還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。
從管理上來看,NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理,串口CLI命令功能很簡單。從配置上來說,Ne
tScreen-5200配置界面非常美觀,菜單清晰,並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大,但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上,非常方便
用戶使用,而該管理軟體與防火牆之間則通過128位加密進行通信,有利於對多台防火牆
的管理。
在帶寬管理上,F600+很有特色,它通過「管道」概念實現,每個管道可以具有優先順序、
限制和分組等特點,可以給防火牆規則分配一個或多個管道,還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。
在VPN支持方面,NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道,還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN,而SG2000
H未加VPN模塊。在認證方法上,只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。
F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器,它雖然不支持在
防火牆中記錄日誌,但能夠在防火牆管理器中實時顯示日誌數據,還支持Syslog 日誌伺服器
,提供靈活的審計報表,並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器,NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。 4986希望對你有幫助!