防火墙选择哪一款

xmsky525

    防火墙是网络中重要的第一防线，越来越多的人认识到安装防火墙的重要性，因此我们对防火墙的性能和管理特点加以评测。有7个厂家参加了我们的评测，它们是AXENT、Check Point、Cisco、Cyber Guard、NetGuard、NetScreen和Secure Computing。
　　　因为这7个厂家均获得国际计算机安全协会的认证资格，所以我们没有测试网络抵御攻击的能力。通过评测，我们发现这7个厂家在日渐成熟的防火墙市场中都很不错。所有7个厂家的产品均具有NAT功能；除Netscreen－100外，所有防火墙均支持VPN。
　　　代理型与状态检测型的比较
　　　代理型防火墙只允许被代理的协议通过，并且将数据重新打包。而状态检测型只检查数据包是否被允许通过，不影响网络性能。
　　　Check Point、Cisco、Netscreen和NetGuard均使用状态检测技术，其总体性能比使用代理技术的AXENT、CyberGuard和Secure Computing的要强。其中，Cisco的PIX性能接近线速。
　　7种防火墙性能介绍
　　　1.Check Point Firewall－1 4?0
　　Firewall－1提供了最佳权限控制、最佳综合性能及简单明了的管理。除了NAT外，它具有用户认证功能。对于FTP，可以根据put、set以及文件名加以限制。对于SMTP，它可以丢弃超过一定大小的邮件、对邮件进病毒扫描，以及改写邮件头信息。Firewall－1还可以防止有害SMTP命令(如debug)的执行。Firewall－1的用户界面是网络控制中心，定义和实施复杂的安全规则非常容易。每个规划还有一个域用于文档记录，如为什么制定这条规则，何时制定及由谁制定。通过OPSEC(安全企业连接开放平台)，Check Point提供与第三方厂家连接的API。
　　　Firewall－1在NAT方面不尽如人意，可读性比较差。
　　　2.AXENT Raptor
　　　Raptor是代理型防火墙中最好的。它的界面易读、易操作，在实时日志方面，仅次于Firewall－1。Raptor的优势在于其代理的深度和广度。只有它提供对Microsoft NT服务器的保护。它还具有SQL＊NET代理功能，可控制对Oracle数据库的访问。Raptor在SMTP方面做得很好，而且它是唯一可防止缓存溢出的防火墙，它可以代理NNTP(网络新闻传输协议)和NTP(网络时间协议)。
　　　Raptor还提供IPsec兼容的VPN，但由于没有硬件辅助卡，所以在建立多个使用加密的连接时，CPU可能难以承受。
　　　3.CyberGuard Firewall
　　　Cyber Guard Firewall的代理性能不如Raptor，但它允许直接包过滤，用户界面简洁清晰，且更注重其操作系统的硬件化。它的MUSE(多重虚拟安全环境)只允许必要的通信。　
　　其用户界面只能在控制台上使用，而所有其他防火墙软件均独立于实际防火墙引擎运行。
　　　4.Secure Computing SecureZone
　　　Secure Zone代理功能很强，FTP代理可定制文件的创建、删改及put/get操作。SecureZone使用“类型强化”功能来区分所有进程，只允许必要的通信进入。其基于Java的用户界面简单可靠，采用独具一格的树形结构来制定规划。当有许多需要在不同层次上进行权限控制的VPN时，它非常有用。
　　　但SecureZone不能扫描病毒。
　　　5.Cisco PIX Firewall 520
　　PIX的处理性能是最好的，其吞吐可达150Mbps，而且使用NAT时不影响其性能。它可以防止有害的SMTP命令，但对FTP，它不能对get和put进行限制。
　　　PIX的管理风格和Cisco路由器命令接口风格类似。PIX的管理需要有一台NT服务器专门运行该软件，通过Web来访问，但使用Web界面管理PIX只能进行简单的配置改变。它的日志和监控能力较弱，所有日志须送到另一台运行syslog的机器上。
　　　6.Netscreen Netscreen－100
　　　Netscreen使用专用的ASIC提供高性能的防火墙，既便宜又易于安装。安装后可通过Netscape或IE来进行所有的管理。Netscreen不进行路由而让包通过，因此，在防火墙内的主机或路由器，仍使用Internet路由器的网关地址进入外部网络，这免去了在防火墙和外部路由器之间增加子网的需要。
　　　它的网络权限控制功能很弱，除了URL过滤及FTP，它只能做简单的包过滤。
　　　7.NetGuard Guardian 3.0(NT版)
　　　Guardian是安装在NT上的产品。尽管它的界面简单，其权限控制功能优于Netscreen。它的独特之处在于监视无效的Telnet。
　　　在权限控制方面，虽然优于Netscreen，但它却只能基于IP和端口号进行简单控制。它是这7种防火墙中唯一不支持IPsec的产品。它的性能比较低，启用NAT后，其性能严重下降。
　　 测试环境
　　　我们使用Ganymede的Chariot测试软件来产生HTTP流量，在8台PC上运行Chariot节点软件。2台Cisco交换机各以100Mbps连接4台PC，防火墙在交换机之间，每台交换机均有2台服务器和2台客户机，流量对称分布。