联想网御_联想网御防火墙配置手册

联想网御_联想网御防火墙配置手册

       接下来，我将针对联想网御的问题给出一些建议和解答，希望对大家有所帮助。现在，我们就来探讨一下联想网御的话题。

1.防火墙用哪家的好?

2.国内知名的网络安全公司有哪些

3.VSP的技术术语

4.请问国内有哪些知名的网络安全企业？

5.急~~~~~~~~~计算机网络问题

6.计算机信息系统集成一级资质企业名录

防火墙用哪家的好?

       现在做Web应用防火墙的很多，如果从你的要求来看，基本就两个选择了：

       1、Imperva 防护能力高，性能中上，易用性一般，这个是国外的牌子，价格很贵，我们学校用过一段时间，最后资金问题，放弃了。

       2、yxlink WAF（铱迅Web应用防火墙），防护能力高，性能高(实测好像比imperva的速度还快)，易用性好，这个是国内的牌子，价格比国内其他厂商相比略高，但正好在我们的额度内。

       另：其他国内、国外的我们这里总共测过7家的，有的上去直接挂掉，有的卡的要命，最要命的是防不住攻击，具体牌子就不说的。

国内知名的网络安全公司有哪些

       这个问题我可能比较有发言权,曾是上述某厂商中的防火墙产品经理,友商竞争分析是必修课程之一。

       先说结论:都一样。

       这个问题就像在问 小米 魅族 oppo 华为哪一家的手机靠谱;比亚迪 吉利 长城 五菱 哪一家的车靠谱

       无价格无场景无需求,我只能说都差不多。所以回答这个问题要从两个方面回答，并且前提是同价位

       1、硬件：先把国内防火墙厂商分成两大阵营:自研硬件与非自研硬件,又或者多核与x86；可称之硬件自研的有华为、华三、迪普和山石,他们是有硬件研发能力的,好处是设备性能稳定性较好,相对成本会低一些,这也是运营商集采几乎都是这几家参与的原因,多核的缺点就是功能开发不够灵活,并且开启应用层功能后,整机性能下降较为严重。其他厂商是用的x86工控机装centos然后运行自己的软件,本质上他们属于软件开发者,好处是产品功能丰富,界面友好,但高吞吐场景下(实际吞吐20G以上)稳定性欠佳,缺少快转模块,转发及高并发处理能力差,还有就是双机组网只是最简单的vrrp,切换慢,无法满足此场景的要求。不过呢,一般企业 政府 学校出口就几个G,数据中心和运营商才会用到这么大吞吐。几十G上百G的场景hw h3c dp hillstone都是有机框式设备,其他几家只有天融信有但运营商场景几乎没见过.启明也有但是近几年新产品,场景和案例较少. 所以硬件这方面,在高吞吐场景下,自研硬件厂商靠谱,哦对了自研硬件厂商还有个特点就是端口非常多,以华为华三为代表,一个千兆防火墙能有十几个千兆接口,当交换机都没问题

       2、软件：上面提到非自研硬件厂商的产品特点是基于x86架构的开发,相对开发比较灵活,不同于mips架构底层硬件驱动兼容性问题较多.所以这类厂商的功能非常丰富,各种花里胡哨的功能都有,尤其以深信服为首。但需要清楚的一点，防火墙本质是安全防护，访问控制,即状态检测+威胁识别。

       状态检测是一个很成熟的技术各家都差不多没啥新花样,无非是加一些应用层的行为识别,比如上网行为管理、app识别、终端和泄密(文本)检测等。最主要的是威胁识别,即入侵防御系统(IPS)+防病毒(AV),这个要求厂商有自己的识别算法和特征库,最近几年又流行未知威胁检测.

       这里要补充一下上述几家的起家,华为华三就不多说了都知道是搞数通起家的,最近几年才开始在安全方面发力,缺少专业安全团队,天融信是搞防火墙起家的,国内最早做防火墙的厂商,网康最开始是做上网行为管理,后和网神合并,目前叫奇安信。深信服是上网行为管理+***,所以你看,这几家都不是专业搞安全出身的。国内安全厂商安全起家的有启明星辰和绿盟,启明最初是卖入侵检测,一个比较吃特征库的产品,并且有自己专门的攻防团队,绿盟早期是绿色兵团那帮黑客,(绿盟起家还挺好玩,一波多折有空再讲)最初产品是漏洞扫描,也是比较吃特征库,有自己的专业攻防团队,所以拼特征库的话,题目的这几家都半斤八两,不过特征库只能防御已知威胁,就是说先有的攻击,提取特征,才能加到特征库里,那么特征库多点少点没啥大影响其实,毕竟闹得比较大的病毒都是新型的病毒,所以这几家其实,半斤八两。

VSP的技术术语

       国外有不少知名的大公司，比如赛门铁克、麦咖啡、趋势、ca，做企业杀软的，当然他们也有整套的防御体系产品。国外的防火墙、IPS也有不少有名的公司，比如op的防火墙、comodo的防火墙。要更安全也更贵的硬件防火墙、防病毒网关、IPS的话，也有不少国内的企业杀软瑞星、金山、江民、微点之类的都应该有，但质量是不是很高就不好说了。。。软件防火墙方面，国内也有几家。但规模不大，能力一般硬件防火墙，应该有几家，情况不太清楚，好像也就那么几家。我们公司用的是联想网御的硬件防火墙，还有他的防病毒网关和IPS。另外还有绿盟的防DDOS攻击和漏洞扫描设备。质量是不是国际一流其实我也不知道，他们自称不错。目前用着还算可以

请问国内有哪些知名的网络安全企业？

       1.VideoSignalProcessor--视频信号处理机2.VirtualSoftwareProcessor--虚拟软件处理器

       3.VirtualSwitchingPoint--虚拟交换点

       随着信息化建设的深入，互联网上的各种应用不断增多，作为边界防御的基础设施——防火墙，也面临多重挑战。一方面安全需求日新月异，另一方面网络带宽飞速扩展，传统的小作坊式研发设计已经不能满足要求，设备平台化已经成为发展的趋势。

       通过平台化，防火墙能够迅速适应新的硬件平台，性能得以快速提高，满足甚至领先于网络带宽的发展。同时，平台化的防火墙具备良好的扩展性和适应性，可以快速移植到各种硬件平台，提高系统的性价比，并很容易发展出新的功能，适应用户特殊的或不断变化的安全需求。联想网御在下一代安全架构中，推出了弹性架构的安全平台，正是为了顺应了这种发展潮流，将防火墙产品的研发设计推向了新的高度。

       弹性架构的安全平台包含四项核心组成部分：通用安全平台（VSP）是所有防火墙设备的基础，统一安全引擎（USE）是防火墙设备的安全发动机，多重冗余协议（MRP）是防火墙设备高可靠性的保证，高速安全硬件（HSH）则是防火墙设备高性能的助推器。

       在安全产品实现上，四类核心技术的有效组合，可以为用户提供多样化的安全功能：既能为高端用户提供专用的、高性能的、高可靠性的安全设备，如防火墙、***、IPS等，又能为中小型用户提供多功能、高性价比、易于管理维护的安全设备，如UTM，还能够根据用户需求，在专用安全设备上提供增强的安全功能，快速完成产品定制，如在高端防火墙上提供异常流量的分析过滤器。 （VSP：VersatileSecurityPlatform）VSP是联想网御自主研发的专用安全软件平台，该平台参照国际标准，基于完善的体系结构设计，将实时操作系统、网络处理、安全应用等技术完美地结合在一起，具有高效、智能、安全、健壮、易扩展等特点，是联想网御边界防御产品的通用平台。

       VSP面向网络吞吐和安全处理，不同于Linux，FreeBSD等通用操作系统追求均衡的方向，VSP通过控制平面和数据平面的分离，集中主要资源于数据平面，进行网络吞吐和安全处理，使系统具有极强的实时性和网络吞吐能力。

       VSP参考微内核设计，基于消息机制，仅将最基本的操作系统功能置于微内核，多余服务和应用程序均构造于微内核之上，确保任何服务和应用的问题都不会造成整个系统的崩溃。同时，微内核中集成攻击防御引擎，可有效检测和抵御攻击行为，从根本上提高了产品的可靠性和健壮性。

       通过系统功能与资源管理分别工作在不同的平面，各平面和模块之间共同遵循标准接口函数，VSP与各种嵌入式系统相比，具有高度灵活性和可扩展性。同时，VSP将硬件驱动独立为硬件抽象平面，对上层软件提供统一调用接口，对下层硬件统一定义驱动标准，适应不同规格的硬件架构，实现与多种专用芯片的无缝融合，VSP可充分利用从IXP，PowerPC到NP、内容加速芯片等各种先进硬件平台的优势。 （USE：UniformSecurityEngine）以VSP为基础，优化传统的安全引擎，抽象数据模型、构造统一架构，有效地将状态过滤、***、IPS、内容过滤等多类别安全引擎集成为统一的安全引擎，显著提升了联想网御防火墙的安全防御能力。统一安全引擎克服了传统上各个安全引擎独自为战，存在大量冗余处理的缺点（比如，蠕虫检测在IDS，病毒检测中都要处理），通过高效的引擎集成技术，将各个安全功能与网络协议栈的处理有机地整合为一体，状态检测、协议分析机、深度过滤、内容检测等引擎协同工作，对于监测的数据包，一次性拆包即可完成2～7层的检测，同时采用联想的专利技术——基于摘要索引的内容处理加速算法，有效地提高了引擎的处理效率。

       联想网御防火墙根据用户需求侧重点不同，通过统一的配置接口，可以方便的组合使用各种安全特性，加上不同的硬件架构，可以适应用户的不同安全需求。 （MRP：Multi-layersRedundantProtocol）基于联想拥有的大型计算机高可靠设计专利技术，利用电信骨干网可靠性运营维护专业经验，通过在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计，可有效地保障联想网御防火墙在用户网络应用中的高可用性。联想网御防火墙在链路层支持多WAN口出口，通过链路冗余协议，实现多出口间的负载均衡和备份，正常时可以充分利用链路资源，同时任何一条链路的故障瘫痪不会影响网络的正常通信。

       联想网御防火墙通过支持基于802.3ad标准，实现多物理端口聚合，在正常状态下可以帮助用户做到“零投资”带宽倍增，在单点故障时，又可以实现正常的网络通信不中断。

       MRP支持基于状态自动探测的双机热备。当主系统发生故障或对应线路的网络故障时，备份机可自动检测并切换到主状态，接管主系统的工作，切换时间小于1秒钟。同时，基于国内首创的“状态增量同步”技术，解决了主从设备之间状态一致性问题，在保证不损失状态检测的安全性的同时，保证了系统切换期间会话不会中断。

       MRP支持主动负载均衡、会话保护和接管以及主动配置同步等功能，不但可以在集群和双机中实现配置的同步，简化用户的管理负担，并且基于“状态增量同步技术”实现了业务在多台设备之间的平滑任意分布和切换，解决了采用VRRP协议和动态路由协议带来的“业务续断问题”，在透明、路由、混合等多种工作模式下实现负载均衡，最多可以支持2~8台的设备集群。 （HSH:HighSpeedHardware）联想网御防火墙在硬件领域始终引领安全技术潮流。2003年，联想网御在国内率先推出NP架构“超五”千兆线速防火墙，以其优异的性能，受到了业界普遍认可。

       多核多线程芯片技术是网络设噶煊虻淖钚路⒄梗?胪?氏仁迪至瞬?坊?ü?猎PU与网络总线、安全应用加速引擎的集成，极大拓展了内部带宽，解决了通用平台的总线瓶颈，多核多线程的体系结构特别适合网络并行运算，使防火墙的网络处理速度从千兆走向了万兆。

       弹性架构的安全平台是联想网御防火墙的技术基础，以此为基础形成的产品和解决方案可以应对新的安全威胁在速度、范围和复杂性方面的挑战，快速满足用户需求。除此之外，因为平台具有的弹性特点，部分模块和技术将来还能嵌入到硬件芯片、网络设备、操作系统或者网络应用中，自然地融入信息化建设当中。弹性架构的安全平台必将成为推动信息化建设与信息安全协调发展的重要动力。

急~~~~~~~~~计算机网络问题

       中国国内的安全市场进入“战国时期”，启明星辰、绿盟、天融信、安氏、亿阳、联想网御、华为等战国七雄拥有雄厚的客户资源和资金基础，帐前皆有勇猛善战之士，渐渐开始统领国内安全市场的潮流和声音，基本上每个公开市场的项目都有其角逐的身影。

       天融信：1995年成立于北京，是我国最早成立的网络安全、大数据与安全云服务提供商，也是中国信息安全产业第一品牌。天融信为国家规划布局内重点软件企业，拥有完备的安全服务体系和国内权威的安全服务资质，具有较强的软件开发、测试和工程化实施能力。天融信现有员工2000+名，其中技术人员占70%以上，并设有国内一流的阿尔法实验室、博士后科研工作站和安全技术研究院。天融信已承担过发改委、工信部、科技部、北京市等多项重大科技攻关及产业化项目，业务覆盖全国，在31个省市均设有分支机构，行业客户覆盖100,000+家，遍布政府、军队、金融、电信、教育、医疗、制造等各行各业。天融信坚持自主创新，连续10年以上位居中国信息安全市场防火墙、安全硬件、整体信息安全市场占有率领先位置。2008年奥运会安全保卫工作核心技术支撑单位、2010年世博会网络安全神经中枢系统建设单位、2010年广州亚运会信息系统（AGIS）网络安全系统集成商、2011年天宫一号与神州八号对接工程安全管理系统提供商、2016年G20杭州峰会网络安全技术支撑单位等等，天融信在多个重要行业信息系统或项目建设中成为主力军，并不断践行着维护国家信息安全的使命与责任。天融信推出的基于 SOC的MSS服务，可信网络架构TNA理念，通过OEM完善了IDS和SOC产品线，成功获得融资，正在全力冲刺IPO。

       启明星辰：拥有雄厚的政府关系，自主开发的IDS和扫描器积淀很深，在电子政务和银行证券等行业有很庞大的用户基础。与港湾科技联合推出的天清汉马 防火墙相信也有不错的销售前景。春节前后随着两位电信背景深厚人士的加盟，正在力图在电信行业谋取更高地位。最近融资的成功使IPO的成功率大增！绿盟：拥有独一无二的技术研究实力和声望，以及稳定的核心团队。研究部的专家及其工作方式是中国安全公司中所特有的，技术人员在公司的地位和“话语 权”也是最高的。其风险评估和反拒绝服务产品在市场上有不错的口碑，作为安全管理中心(SOC)解决方案的企业安全计划(ESP)似乎没有像其它公司那样 引进外国产品作为底层平台，而是走了自己开发的道路。总体说，产品与技术声望的结合保证了市场竞争方面的生存能力。云南移动安全管理中心SOC项目不知道 给公司带来什么样的经验和教训。安氏： 2003 年前曾经是市场和潮流的领导者。我本人也在安氏度过了2000－2003年整整三年难忘的时光，带领创建了研发部、建立了最早的研发体系、开发了防火墙系 列等，而后带领技术支持和安全服务建立了SOC的轮廓和路线图。华为安全服务项目、江苏移动SOC项目是发展过程中重要的里程碑。虽然经过了2003年剧 烈的人事动荡，目前还刚刚进行完安氏中国与安氏领信的分拆，但是凭借几位核心销售的强大客户关系，1－2年内依然会是电信行业的最大主导者。这两三年来陆 续签下的有影响的电信项目包括：电信集团与江苏电信（1＋1）、浙江移动、山东移动、山西移动、广东电信等。

       亿阳：上市公司亿阳信通的安全事业部依托自身网管方面原有的客户基础，是电信安全行业的重要竞争者。但是，推出的防火墙、入侵检测、双因子认证等不 少产品和解决方案，感觉战线较长，特点和主攻方向不够明确，从IDC的报告上看，还没有哪个产品能够占领较为前面的位置。拿下辽宁移动安全管理中心SOC 项目给整体安全解决方案增强不少信心。

       联想网御：从上市公司联想分拆出来后，联想网御的身世还在焦点网上引起大家的兴趣。农行和北京移动的安全服务项目是联想网御的重要标志性安全服务项 目。目前，联想网御还是国内等级化安全保护的重要推动者。不管怎样，分拆对于联想网御是件好事，可以充分调动主要管理层和技术人员的积极性。但是据说现在 内部有人事变动，或许会带来或多或少的市场影响。亚信的股东地位似乎没有给联想网御带来很多的电信项目机会。

       华为：让许多硬件公司、软件公司、应用公司、计费公司、集成公司、安全公司都寝食难安的公司。拥有国内最为成熟、完善的质量体系和市场渗透团队。但 是现在的问题是内部资源还没有获得很好的整合，市场上的声音还不够统一、强烈。如果能够整合内部资源，甚至像联想那样分拆这部分业务，将会激发调动管理层 和员工的创业积极性。不管怎样，华为将会是国内安全市场全方位的竞争者和未来的领导者。2004年拿下山东移动安全服务项目曾经让大家一惊。

       希望可以帮到您，谢谢！

计算机信息系统集成一级资质企业名录

       作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为

       用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室

       对目前市场上主流的防火墙产品进行了一次比较评测。

       《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有

       希望参加评测的厂商开放。

       我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外

       12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal

       l -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST210

       4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW

       all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre

       en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防

       火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺

       利完成了对其他12款产品的评测任务。

       测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC

       2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren

       t公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测

       试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还

       使用NAI公司的Sniffer Pro软件进行了抓包分析。

       在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管

       理性、***、加密认证以及日志审计等多方面功能。

       最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些

       勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

       性能综述

       对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能

       一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火

       墙来说是巨大的挑战。

       在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大

       差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲

       ，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见

       的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙

       软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（

       如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作

       系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时

       将防火墙配置为最简单的方式：路由模式下内外网全通。

       我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性

       能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线

       速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延

       迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

       百兆防火墙性能解析

       作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢

       帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为

       出众，达到了51.96%的线速，NetsScreen-208也能够达到44.15%，

       在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到83.60%，位居第一

       ，其次是方正方御防火墙，结果为71.72%。

       延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200

       0与龙马卫士的数值不分伯仲，名列前茅。

       帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百

       分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测

       试的5种帧长度下，NetScreen-208在256、512和1518字节帧下结果为0，64字节帧下结果为5

       7.45%。

       一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能

       自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后

       64字节帧的吞吐量比单向吞吐量结果略高。

       最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个

       非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务

       的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也

       达到80万。

       我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防

       攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接

       的能力。

       Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，

       安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是

       50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC

       P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La

       nd-based三种攻击包全部都过滤掉。

       Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对

       于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包

       都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允

       许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效

       防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况

       ，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于

       第三种情况。

       对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙

       过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些

       ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每

       秒钟通过的ping包数量。

       千兆防火墙性能结果分析

       由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占

       的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结

       果都明显要高于百兆防火墙。

       双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为

       58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低

       都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.

       5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧

       长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结

       果表明，NetScreen-5200防火墙达到100万。

       在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没

       有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火

       墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击

       包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的

       攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一

       和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击

       测试结果为1000个攻击包全都过滤掉。

       功能综述

       在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲

       自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

       包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产

       品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原

       理。

       在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate

       公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由

       模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

       百兆防火墙

       与交换机走向融合？

       当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端

       口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用

       来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用

       作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络

       卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200

       则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块，这显示了防火墙与交换机融合的市场趋势。

       对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、

       清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D

       HCP 服务器和客户端，这是非常独特的地方。

       在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre

       en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子

       端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项

       支持VLAN，主要支持802.1Q和Cisco的ISL。

       管理特色凸现

       管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置

       、各种管理方式的易用性以及带宽管理特性。

       不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防

       火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG

       FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制

       。

       目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串

       口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火

       墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己

       喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使

       用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明

       了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令

       功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

       从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我

       们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火

       墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理

       多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正

       方御的GUI管理软件安装和使用都比较容易。

       带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更

       好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支

       持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分

       配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的

       流量控制实现对防火墙各个接口的带宽控制。

       ***和加密认证

       防火墙与***的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网

       御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有

       ***功能或***模块。作为构建***最主要的协议IPSec，这6款防火墙都提供了良好的支持。

       安氏领信防火墙的***模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES

       、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算

       法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算

       法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地

       支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防

       火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于***之外，远程

       管理、远程日志等功能通过加密也能够提升其安全性。

       在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、

       SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持

       得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙

       主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃

       听。

       防御功能

       防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒

       扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防

       护能力。

       在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病

       毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙

       时就被捕获。

       在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清

       华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3

       协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤

       的功能。

       在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火

       墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设

       置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门

       端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现

       互动，以实现更强劲的防攻击能力。

       安全特性

       代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信

       息被限制在代理网关的内侧。

       参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3

       、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

       NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部

       网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内

       部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都

       有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N

       AT以及端口NAT。

       高可用性

       负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负

       载分担，而其他防火墙则支持服务器之间的负载均衡。

       目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机

       热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之

       间的Active-Active高可用性。

       日志审计和警告功能

       防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量

       的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同

       时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都

       非常必要。

       安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG

       FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利

       用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务

       器的存储方式，包括Internal、Syslog、WebTrends、flash卡等。

       当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，

       防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、

       Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行

       报警程序等方式进行报警。

       对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、

       天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将

       日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分

       为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

       优秀的文档很关键

       大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想

       、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详

       细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne

       tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有

       利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户

       手册，但缺憾在于它们全部是英文的。

       千兆防火墙

       此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所

       以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞

       特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采

       用网络处理器的例子。

       从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200

       、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式

       。

       F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。

       在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不

       同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S

       G2000H也支持802.1Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路

       由协议。

       从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主

       要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne

       tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略

       和建立***通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安

       装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便

       用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙

       的管理。

       在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、

       限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带

       宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制

       进出的网络流量。

       在***支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立***隧道，还支持

       DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立***，而SG2000

       H未加***模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L

       DAP。

       F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在

       防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器

       ,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报

       表方面都支持著名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flas

       h卡、NetScreen Global Pro等方式进行处理。

       同方股份有限公司

       北京和利时系统工程有限公司北京方正奥德计算机系统有限公司紫光软件系统有限公司北京朗新信息系统有限公司恒生电子股份有限公司广州杰赛科技股份有限公司天津天地伟业科技有限公司中科软科技股份有限公司长天科技有限公司

       北京东华合创数码科技股份有限公司首都信息发展股份有限公司北京鼎天软件有限公司江苏金智科技股份有限公司西安未来国际软件有限公司黎明网络有限公司

       湖南创智软件科技有限公司上海宝信软件股份有限公司

       云南南天电子信息产业股份有限公司中国电信集团系统集成有限责任公司北京国铁华晨通信信息技术公司北京市太极华青信息系统有限公司北京高阳金信信息技术有限公司航天信息股份有限公司

       联想网御科技（北京）有限公司浙江浙大中控信息技术有限公司亿阳信通股份有限公司积成电子股份有限公司金鹏电子信息机器有限公司中电科技电子信息系统有限公司中国软件与技术服务股份有限公司北京大恒创新技术有限公司亚信科技（中国）有限公司四川银海软件有限责任公司南京南瑞集团公司

       南京莱斯大型电子系统工程有限公司浙江大学快威科技集团有限公司深圳市紫金支点技术股份有限公司国防科学技术大学信息工程研究所哈尔滨工业大学软件工程有限公司上海复旦光华信息科技股份有限公司新晨科技股份有限公司中国惠普有限公司

       北京紫光华宇软件股份有限公司南京中兴软创科技股份有限公司西安交大博通资讯股份有限公司武汉烽火信息集成技术有限公司

       万达信息股份有限公司广州华南资讯科技有限公司信雅达系统工程股份有限公司福建榕基软件股份有限公司北京宇信易诚科技有限公司上海华讯网络系统股份有限公司上海华东电脑股份有限公司河北远东通信系统工程有限公司长春鸿达信息科技股份有限公司南京联创科技股份有限公司思创数码科技股份有限公司泰豪软件股份有限公司

       湖南拓维信息系统股份有限公司广州从兴电子开发有限公司

       大连华信计算机技术股份有限公司青岛海信网络科技股份有限公司深圳市南凌科技发展有限公司石化盈科信息技术有限责任公司北京北大青鸟商用信息系统有限公司北京中电兴发科技有限公司北京汉铭信通科技有限公司北京全路通信信号研究设计院

       北京宝亮网智电子信息技术有限公司北京北控电信通信息技术有限公司广州市方欣科技有限公司

       山西同昌信息技术实业有限公司深圳市华仁达电子有限公司深圳市脉山龙信息技术有限公司成都三零盛安信息系统有限公司杭州新世纪信息技术股份有限公司上海理想信息产业（集团）有限公司深圳达实智能股份有限公司深圳海联讯科技股份有限公司北京联信永益信息技术有限公司北京合力金桥系统集成技术有限公司北京直真节点技术开发有限公司中国网通集团系统集成有限公司中盈优创资讯科技有限公司北京能通万维网络科技有限公司华迪计算机集团有限公司

       国际商业机器全球服务（中国）有限公司上海华腾软件系统有限公司湖南创发天辰科技有限责任公司易泰达科技有限公司

       重庆南华中天信息技术有限公司上海贝尔阿尔卡特软件有限公司广东互维科技有限公司

       广东省信息工程有限公司

       兰州飞天网景信息产业有限公司浙江银江电子股份有限公司

       安徽科大恒星电子商务技术有限公司福建富士通信息软件有限公司深圳市天维尔通讯技术有限公司广州北大明天资源科技发展有限公司太原理工天成电子信息技术有限公司长春吉大正元信息技术股份有限公司永泰软件有限公司荣基科技有限公司

       内蒙古证联信息技术有限责任公司甘肃万维信息技术有限责任公司重庆市易联数码科技有限公司

       北京大唐高鸿数据网络技术有限公司北京神州泰岳软件股份有限公司北京世源希达工程技术公司

       北京赛迪时代信息产业股份有限公司赞华（北京）电子系统有限公司北京京北方科技股份有限公司江西贝尔科技产业有限公司重庆中讯亚太信息技术有限公司浙江建达科技股份有限公司

       北京中科大洋科技发展股份有限公司北京高伟达软件技术有限公司兴唐通信科技有限公司

       北京宇信鸿泰科技发展有限公司北京环亚时代信息技术有限公司中信国安信息科技有限公司北京先进数通信息技术有限公司天津市中环系统工程有限责任公司启明信息技术股份有限公司重庆亚德科技股份有限公司攀钢集团信息工程技术有限公司

       武汉钢铁工程技术集团自动化有限责任公司成都索贝数码科技股份有限公司湖南科创信息技术股份有限公司深圳键桥通讯技术股份有限公司深圳市赛为智能股份有限公司福建南威软件工程发展有限公司福建新大陆电脑股份有限公司北京华胜天成科技股份有限公司广州广电运通金融电子股份有限公司福建亿力电力科技股份有限公司四川格瑞特科技有限公司北京华夏电通科技有限公司中国电力科学研究院

       北京飞利信科技股份有限公司北京网鼎系统集成有限责任公司国富通信息技术发展有限公司北京冠华宏鑫科技有限公司北京北大千方科技有限公司卓望数码技术（深圳）有限公司深圳市广宁实业有限公司江苏智运科技发展有限公司四川川大智胜软件股份有限公司江苏宏图高科技术开发有限公司上海迪爱斯通信设备有限公司湖南湘邮科技股份有限公司厦门柏事特信息科技有限公司河北普瑞电子有限公司

       浙江浙大网新快威科技有限公司杭州创业软件股份有限公司

       实达科技（福建）软件系统集团有限公司重庆汉光电子工程有限责任公司大唐软件技术股份有限公司太极计算机股份有限公司神州数码信息系统有限公司长城计算机软件与系统有限公司北京中软国际信息技术有限公司山东中创软件工程股份有限公司山东浪潮齐鲁软件产业股份有限公司东软集团股份有限公司

       天津新技术产业园区海泰数码科技有限公司厦门东南融通系统工程有限公司上海交技发展股份有限公司

       内蒙古万德系统集成有限责任公司安徽科大讯飞信息科技股份有限公司河北全通通信有限公司福建恒锋电子有限公司广东亿迅科技有限公司

       广州市友迪资讯科技有限公司新太科技股份有限公司山西奥科新得科贸有限公司武汉兴得科技有限公司

       深圳市智宇实业发展有限公司高新现代智能系统股份有限公司深圳市东深电子股份有限公司深圳中航电脑系统工程有限公司北京神州新桥科技有限公司北京直真视通科技有限公司北京东方正通科技有限公司北京中电同业科技发展有限公司北京瑞华赢科技发展有限公司

       北京英孚泰克信息技术有限公司北京中科金财科技股份有限公司

       北京神州数码思特奇信息技术股份有限公司同方威视技术股份有限公司

       中铁信弘远（北京）软件科技有限责任公司赛尔网络有限公司

       深圳市金证科技股份有限公司中程科技有限公司

       非常高兴能与大家分享这些有关“联想网御”的信息。在今天的讨论中，我希望能帮助大家更全面地了解这个主题。感谢大家的参与和聆听，希望这些信息能对大家有所帮助。