龙马卫士股价

问:东方龙马防火墙:如何防“火”麻烦告诉我

防火墙是一种将局域网和广域网分开的方法,它能限制被保护的内网与外网之间的信息存取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身就有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效的控制了内部网和外部网之间的活动,保证了内部网络的安全。 防火墙技术包括包过滤技术,网络地址转换(NAT)技术及代理技术等等。下面,我们将以新近上市的东方龙马防火墙为例做一简单介绍,看看防火墙是怎样来防火的。 实时的连接状态下的包过滤 包过滤是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则,允许指定的哪些类型的数据包可以流入或流出内部网络;哪些类型的数据包传输应该被拦截。龙马卫士防火墙不仅根据数据包的地址、方向、协议、服务、端口、访问时间进行访问控制,同时还对任何网络连接和当前的会话状态进行分析和监控。 传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的丢弃。由于是基于规则的检查,属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网络拥塞。甚至黑客会采用IP Spoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。 龙马卫士防火墙采用了基于连接状态检查的包过滤,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大地提高了系统的性能和安全性。龙马卫士防火墙在进行包的检测时不仅将其看成是独立的单元,同时还要考虑与它的前面包的关联性。例如,在基于TCP协议的连接中,每个包在传输时都包括了IP源地址,IP目的地址,源端口和目的端口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说,对于属于同一个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息,而是对每个数据包都进行孤立的规则检测,这样就降低了传输效率和安全性。 尤其值得一提的是,对于基于UDP协议、ICMP的应用来说,是很难用简单的包过滤技术进行处理的,因为UDP协议本身对于顺序错误或丢失的包,是不做纠错或重传的。而ICMP与IP位于同一层,它被用来传送IP的差错和控制信息。龙马卫士防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控。通过规则与连接状态的共同配合,达到包过滤的高效与安全。可以这么说,能够实现对UDP、ICMP协议的实时状态监控,这是龙马卫士防火墙有别于其它厂商防火墙的显著特点之一。 实时的动态过滤技术使东方龙马防火墙增强了防御能力,降低了黑客攻击的成功率,从而大大提高了系统的性能和安全性。 网络地址转换(NAT) 网络地址转换是一种把内部IP地址转换成临时的、外部的、注册的IP地址的标准。它允许具有私有IP地址的内部网络访问因特网,它还意味着用户不需要为其网络中每台机器分配已经注册过的IP地址。 龙马卫士防火墙利用NAT技术对内部地址做转换,使外部网络无法了解内部网络的结构,使黑客很难对内部网的用户发起攻击。同时允许内部网络使用自己定制的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。 龙马卫士防火墙不仅提供了传统的"内部网到外部网","外部网到内部网"NAT功能,而且提供任意接口的源地址和目的地址的转换。NAT技术支持两种方式的静态网络地址转换,一种为一对一的地址映射,即外部地址和内部地址一对一的映射,使内部地址的主机既可以访问外部网络,也可以接受外部网络提供的服务。另一种是更灵活的方式,可以支持多对一的映射,即内部的多个机器可以通过一个外部有效地址访问外部网络。 龙马卫士防火墙同时支持动态地址映射。动态地址映射是一种更为灵活的转换方式,用户不必事先指定一个具体的转换地址,可以只指定一个地址池,地址池中包含了一系列合法的转换地址,当数据包通过防火墙时,防火墙将从该地址池中随机选取一个地址做NAT转换。在目的地址转换中支持地址池能够实现负载分担,将集中在一台服务器上的访问请求均匀地分发到多台服务器上。传统上,一般采用一个域名对应多台服务器,由于域名解析一般在各地的服务器上都会有Cache(高速缓冲存储器)存在,因此会造成一个地区的用户访问请求将集中在同一台服务器上。龙马卫士防火墙在目的地址转换中支持地址池,即可以实现将用户的请求均匀的分发到对应的服务器上的目的。 龙马卫士防火墙的NAT技术实现了在任何网络接口进行地址转换,规则能够根据源地址范围,目的地址范围,端口以及协议等精密匹配。为了适应复杂的网络结构,防火墙还提供外部网络到内部网络的源地址转换功能。利用NAT转换功能,不仅可以更有效的利用地址资源而且可以使系统管理员自行设置内部的地址而不必对外公开,隐藏了内部网络的真实地址,从而使外来的黑客无法探知内部网络的结构,提高了网络整体的安全性。 代理技术 应用代理或代理服务器是代理内部网络用户与外部网络服务器进行信息交换的程序。它将内部用户的请求确认后送达外部服务器,同时将外部服务器的响应再回送给用户。 龙马卫士防火墙中对Ftp,Telnet,Http,Smtp,Pop3和DNS等应用实现了代理服务。这些代理服务对用户是透明的(Transparent),即用户意识不到防火墙的存在,便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时,用户不需要进行设置,代理服务器会建立透明的通道,让用户直接与外界通信,这样极大地方便用户的使用,避免使用中的错误,降低使用防火墙时固有的安全风险和出错概率。 代理服务器可以屏蔽内部网的细节,使非法分子无法探知内部结构。能够屏蔽某些特殊的命令,禁止用户使用容易造成攻击的不安全的命令,从根本上抵御攻击。同时,还能够过滤非安全脚本,如ActiveX,JAVA Applet, JavaScript以及进行邮件过滤。 龙马卫士防火墙的代理服务器提供了对连接流量的控制功能,系统管理员可以根据内部网络的需要增大或减少某一代理(Ftp, Http, Telnet, Smtp, Pop3,DNS等)的流量,这样能更有效地利用资源,也减轻了防火墙的负荷。并且,龙马卫士防火墙采用了多线程多连接技术,使系统可以对出入防火墙的所有应用层连接进行统一的管理,处理速度快,处理进程多,保证了系统的高效性。 抗攻击和自我保护能力 作为一种安全防护设备,防火墙在网络中自然是众多攻击者的目标,故抗攻击能力也是防火墙的必备功能。龙马卫士防火墙通过严密的体系结构,对一系列的黑客攻击手段,有很强的防御能力。 龙马卫士防火墙除了专用的服务口外,不接受来自任何其它端口的直接访问。防火墙系统运行只支持专用服务口进入的"特定指令",而这些"特定指令"对用户来说,只是一个个的菜单选项,图形按钮,真正具备了既防内又防外的自我保护措施。 龙马卫士防火墙禁止用户直接登录和所有的常规服务,并且不允许运行任何其它的程序,对防火墙进行配置只能由系统管理员通过特定的接口进行。故而防止了特洛伊木马的攻击,口令字嗅探和口令字解密等攻击。

问:急~~~~~~~~~计算机网络问题

作为企业用户首选的网络安全产品,防火墙一直是用户和厂商关注的焦点。为了能够为
用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据,《网络世界》评测实验室
对目前市场上主流的防火墙产品进行了一次比较评测。
《网络世界》评测实验室依然本着科学、客观公正的原则,不向厂商收取费用,向所有
希望参加评测的厂商开放。
我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外
12家厂商的14款产品,其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal
l -100Pro、方正数码的方正方御FGFW,联想网御2000,NetScreen-208、清华得实NetST210
4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW
all 防火墙以及卫士通龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防
火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下,顺
利完成了对其他12款产品的评测任务。
测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照RFC2504、RFC
2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren
t公司的SmartBits 6000B测试仪作为主要测试设备,利用SmartFlow和WebSuite Firewall测
试软件进行测试。在测防攻击能力时,为准确判定被攻击方收到的包是否是攻击包,我们还
使用NAI公司的Sniffer Pro软件进行了抓包分析。
在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管
理性、VPN、加密认证以及日志审计等多方面功能。
最后,我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司,同时也对那些
勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。
性能综述
对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能
一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火
墙来说是巨大的挑战。
在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大
差异性,从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲
,目前主要有三种,一种使用ASIC体系,一种采用网络处理器(NP),还有一种也是最常见
的,采用普通计算机体系结构,各种体系结构对数据包的处理能力有着显著的差异。防火墙
软件本身的运行效率也会对性能产生较大影响,目前防火墙软件平台有的是在开放式系统(
如Linux,OpenBSD)上进行了优化,有的使用自己专用的操作系统,还有的根本就没有操作
系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小,测试防火墙性能时
将防火墙配置为最简单的方式:路由模式下内外网全通。
我们此次测试过程中,针对百兆与千兆防火墙的性能测试项目相同,主要包括:双向性
能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线
速下的延迟、吞吐量下的延迟以及帧丢失率;单向性能测试项目包括吞吐量、10%线速下的延
迟;起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。
百兆防火墙性能解析
作为用户选择和衡量防火墙性能最重要的指标之一,吞吐量的高低决定了防火墙在不丢
帧的情况下转发数据包的最大速率。在双向吞吐量中,64字节帧,安氏领信防火墙表现最为
出众,达到了51.96%的线速,NetsScreen-208也能够达到44.15%,
在单向吞吐量测试中,64字节帧长NetScreen-208防火墙成绩已经达到83.60%,位居第一
,其次是方正方御防火墙,结果为71.72%。
延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明,联想网御200
0与龙马卫士的数值不分伯仲,名列前茅。
帧丢失率决定防火墙在持续负载状态下应该转发,但由于缺乏资源而无法转发的帧的百
分比。该指标与吞吐量有一定的关联性,吞吐量比较高的防火墙帧丢失率一般比较低。在测
试的5种帧长度下,NetScreen-208在256、512和1518字节帧下结果为0,64字节帧下结果为5
7.45%。
一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能
自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后
64字节帧的吞吐量比单向吞吐量结果略高。
最大并发连接数决定了防火墙能够同时支持的并发用户数,这对于防火墙来说也是一个
非常有特色也是非常重要的性能指标,尤其是在受防火墙保护的网络向外部网络提供Web服务
的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首,而龙马卫士防火墙结果也
达到80万。
我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防
攻击测试中试图建立5万个TCP/HTTP连接,考察防火墙在启动防攻击能力的同时处理正常连接
的能力。
Syn Flood目前是一种最常见的攻击方式,防火墙对它的防护实现原理也不相同,比如,
安氏领信防火墙与NetScreen-208采用SYN代理的方式,在测试这两款防火墙时我们建立的是
50000个TCP连接背景流,两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC
P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La
nd-based三种攻击包全部都过滤掉。
Teardrop攻击测试将合法的数据包拆分成三段数据包,其中一段包的偏移量不正常。对
于这种攻击,我们通过Sniffer获得的结果分析防火墙有三种防护方法,一种是将三段攻击包
都丢弃掉,一种是将不正常的攻击包丢弃掉,而将剩余的两段数据包组合成正常的数据包允
许穿过防火墙,还有一种是将第二段丢弃,另外两段分别穿过防火墙,这三种方式都能有效
防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况
,神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况,Netscreen-208属于
第三种情况。
对于Ping Sweep和Ping Flood攻击,所有防火墙都能够防住这两种攻击,SG-300防火墙
过滤掉了所有攻击包,而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些
ping包通过,但大部分攻击包都能够被过滤掉,这种结果主要取决于防火墙软件中设定的每
秒钟通过的ping包数量。
千兆防火墙性能结果分析
由于千兆防火墙主要应用于电信级或者大型的数据中心,因此性能在千兆防火墙中所占
的地位要比百兆防火墙更加重要。总的来说,三款千兆防火墙之间的差异相当大,但性能结
果都明显要高于百兆防火墙。
双向吞吐量测试结果中,NetScreen-5200 64、128、256、512、1518字节帧结果分别为
58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低
都十分明显,NetScreen-5200的双向10%线速下的延迟相当低,64字节帧长仅为4.68祍,1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后,NetScreen-5200防火墙64字节帧长的吞吐量为62.
5%。由于ServGate SG2000H不支持路由模式,所有只测了NAT 结果,该防火墙在1518字节帧
长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结
果表明,NetScreen-5200防火墙达到100万。
在防攻击能力测试中, 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好,没
有一个攻击包通过防火墙。对于Ping of Death攻击, NetScreen-5200和阿姆瑞特F600+防火
墙丢弃了所有的攻击包,SG2000H防火墙测试时对发送的45个攻击包,丢弃了后面的两个攻击
包,这样也不会对网络造成太大的危害。在防护Teardrop攻击时,F600+防火墙丢弃了所有的
攻击包,ServGate-2000防火墙只保留了第一个攻击包,NetSreen-5200防火墙则保留了第一
和第三个攻击包,这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击
测试结果为1000个攻击包全都过滤掉。
功能综述
在我们此次测试防火墙的过程中,感受到了不同防火墙产品之间的千差万别,并通过亲
自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。
包过滤、状态检测和应用层代理是防火墙主要的三种实现技术,从此次参测的防火墙产
品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原
理。
在工作方式方面,大部分防火墙都支持路由模式和桥模式(透明模式),来自ServGate
公司的SG300和SG2000H,其工作方式主要是桥模式和 NAT模式,没有一般产品所具有的路由
模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。
百兆防火墙
与交换机走向融合?
当我们拿到要测试的防火墙时,有一个非常直观的感觉是防火墙不再只是传统的三个端
口,正在朝向多个端口方向发展,带有4个端口的防火墙非常常见,我们都知道三个端口是用
来划分内网、外网和DMZ区,那么增加的第4个端口有什么用呢?不同产品差别很大,但以用
作配置管理的为主,安氏的防火墙将该端口作为与IDS互动的端口,比较独特。像天融信网络
卫士NGFW4000则可以最多扩展到12个端口,Netscreen-208有8个固定端口,Netscreen-5200
则是模块化的千兆防火墙,可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块,这显示了防火墙与交换机融合的市场趋势。
对DHCP协议的支持方面,防火墙一般可以作为DHCP信息的中继代理,安氏领信防火墙、
清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D
HCP 服务器和客户端,这是非常独特的地方。
在VLAN支持方面,Netscreen防火墙又一次显示了强大的实力。与交换机类似,Netscre
en-208支持每个端口划分为子端口,每个子端口属于不同的VLAN,支持802.1Q,并且不同子
端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸现
管理功能是一个产品是否易用的重要标志,对此我们考察了防火墙对管理员的权限设置
、各种管理方式的易用性以及带宽管理特性。
不同的防火墙对管理员的权限分级方式不同,但总的来说,不同的管理员权限在保护防
火墙的信息的同时,通过三权分立确保了防火墙的管理者职责分明,各司其职。方正方御FG
FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制

目前,对防火墙的管理一般分为本地管理和远程管理两种方式,具体来说,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。总的来讲,像Netscreen-208、神州数码防火
墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式,非常方便用户从中选择自己
喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂,对于很多用户来说使
用会比较困难,而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明
了,这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然,很多防火墙的CLI命令
功能比较简单,主要功能还是留给了GUI管理软件,方正、联想防火墙是非常典型的例子。
从易用性的角度来讲,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我
们留下了最深刻的印象,漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火
墙的各方面,同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然,对于要集中管理
多台防火墙来说,GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正
方御的GUI管理软件安装和使用都比较容易。
带宽管理正在成为防火墙中必不可少的功能,通过带宽管理和流量控制在为用户提供更
好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支
持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量,对不同的用户,每天分
配固定的流量,当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的
流量控制实现对防火墙各个接口的带宽控制。
VPN和加密认证
防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网
御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有
VPN功能或VPN模块。作为构建VPN最主要的协议IPSec,这6款防火墙都提供了良好的支持。
安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算
法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算
法,如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地
支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防
火墙则以支持国家许可专用加密算法而具有自己的特点。当然,加密除了用于VPN之外,远程
管理、远程日志等功能通过加密也能够提升其安全性。
在身份认证方面,防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、
SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准,这也是所有参测防火墙中支持
得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙
主要用来实现管理员身份认证,认证过程采用一次性口令(OTP)的协议SKEY,可以抵抗网络窃
听。
防御功能
防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒
扫描,使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防
护能力。
在病毒扫描方面,表现最突出的当属联想网御2000,它集成了病毒扫描引擎,具有防病
毒网关的作用,能够实时监控HTTP、FTP、SMTP数据流,使各种病毒和恶意文件在途径防火墙
时就被捕获。
在内容过滤方面,大部分防火墙都支持URL过滤功能,可有效防止对某些URL的访问。清
华得实NetST2104、安氏防火墙内置的内容过滤模块,为用户提供对HTTP、FTP、SMTP、POP3
协议内容过滤,能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤
的功能。
在防御攻击方面,Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火
墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项,用户可以自主设
置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外,还有一个专门
端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现
互动,以实现更强劲的防攻击能力。
安全特性
代理机制通过阻断内部网络与外部网络的直接联系,保证了内部网的拓扑结构等重要信
息被限制在代理网关的内侧。
参测的百兆防火墙大都能够支持大多数应用层协议的代理功能,包括HTTP、SMTP、POP3
、FTP等,从而能够屏蔽某些特殊的命令,并能过滤不安全的内容。
NAT通过隐藏内部网络地址,使其不必暴露在Internet上 从而使外界无法直接访问内部
网络设备,而内部网络通过NAT以公开的IP地址访问外部网络,从而可以在一定程度上保护内
部网络。另一方面,NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都
有较强的支持功能,虽然大家叫的名称不同,但主要方式包括一对一、多对一NAT、多对多N
AT以及端口NAT。
高可用性
负载均衡的功能现在在防火墙身上也开始有所体现,Netscreen-208支持防火墙之间的负
载分担,而其他防火墙则支持服务器之间的负载均衡。
目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机
热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口,实现防火墙之
间的Active-Active高可用性。
日志审计和警告功能
防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量
的日志信息,为了在繁多的日志中进行查询和分析,有必要对这些日志进行审计和管理,同
时防火墙存储空间较小,因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都
非常必要。
安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG
FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理,可以利
用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务
器的存储方式,包括Internal、Syslog、WebTrends、flash卡等。
当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时,根据设定的规则,
防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行
报警程序等方式进行报警。
对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、
天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将
日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分
为负载日志、事件日志、自我日志三种,事件日志分为8个不同等级。
优秀的文档很关键
大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想
、方正与安氏防火墙的印刷文档非常精美全面,内容涵盖了主流的防火墙技术以及产品的详
细配置介绍,还举了很多实用的例子帮助用户比较快地配好防火墙,使用各种功能。得实Ne
tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释,非常有
利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户
手册,但缺憾在于它们全部是英文的。
千兆防火墙
此次总共收集到4款千兆防火墙产品,但北大青鸟在性能测试尚未完成时就自行退出,所
以共测试完成了三款千兆防火墙,它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表,而SG2000H则是采
用网络处理器的例子。
从实现原理来看,三者都主要是基于状态检测技术,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和桥模式,而ServGate SG2000H则支持桥模式和NAT模式

F600+支持DHCP中继代理,而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。
在VLAN支持方面,NetScreen-5200的每个端口可以设定不同子端口,每个子端口可以支持不
同的VLAN,可以非常容易集成到交换网络中。据称,该设备能够支持4000个VLAN。F600+与S
G2000H也支持802.1Q VLAN。而且,还有一点可以指出的是NetScreen-5200支持OSPF、BGP路
由协议。
从管理上来看,NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主
要通过在客户端安装GUI管理软件来进行管理,串口CLI命令功能很简单。从配置上来说,Ne
tScreen-5200配置界面非常美观,菜单清晰,并提供了向导可以指导用户快速配置一些策略
和建立VPN通道。SG2000H功能也比较强大,但配置起来比较复杂一点。阿姆瑞特的F600+在安
装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上,非常方便
用户使用,而该管理软件与防火墙之间则通过128位加密进行通信,有利于对多台防火墙
的管理。
在带宽管理上,F600+很有特色,它通过“管道”概念实现,每个管道可以具有优先级、
限制和分组等特点,可以给防火墙规则分配一个或多个管道,还可以动态分配不同管道的带
宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制
进出的网络流量。
在VPN支持方面,NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道,还支持
DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN,而SG2000
H未加VPN模块。在认证方法上,只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L
DAP。
F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器,它虽然不支持在
防火墙中记录日志,但能够在防火墙管理器中实时显示日志数据,还支持Syslog 日志服务器
,提供灵活的审计报表,并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报
表方面都支持著名的WebTrends软件和Syslog日志服务器,NetScreen还支持将日志通过flas
h卡、NetScreen Global Pro等方式进行处理。

问:求卫士通产的龙马卫士防火墙(型号:WLMA-300TX4)的客户端软件。

客户端是什么啊?不明白? 哦,这东西估计不好找,我帮你问问有没有别人用过吧,实在不行就只能打厂家电话跟他们要了,让他们给你发一份呗。

问:有人知道龙马项目部的情况么?

作为企业用户首选的网络安全产品,防火墙一直是用户和厂商关注的焦点。为了能够为
用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据,《网络世界》评测实验室
对目前市场上主流的防火墙产品进行了一次比较评测。
《网络世界》评测实验室依然本着科学、客观公正的原则,不向厂商收取费用,向所有
希望参加评测的厂商开放。
我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外
12家厂商的14款产品,其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal
l -100Pro、方正数码的方正方御FGFW,联想网御2000,NetScreen-208、清华得实NetST210
4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW
all 防火墙以及卫士通龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防
火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下,顺
利完成了对其他12款产品的评测任务。
测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照RFC2504、RFC
2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren
t公司的SmartBits 6000B测试仪作为主要测试设备,利用SmartFlow和WebSuite Firewall测
试软件进行测试。在测防攻击能力时,为准确判定被攻击方收到的包是否是攻击包,我们还
使用NAI公司的Sniffer Pro软件进行了抓包分析。
在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管
理性、VPN、加密认证以及日志审计等多方面功能。
最后,我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司,同时也对那些
勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。
性能综述
对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能
一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火
墙来说是巨大的挑战。
在我们测试的过程中,感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大
差异性,从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲
,目前主要有三种,一种使用ASIC体系,一种采用网络处理器(NP),还有一种也是最常见
的,采用普通计算机体系结构,各种体系结构对数据包的处理能力有着显著的差异。防火墙
软件本身的运行效率也会对性能产生较大影响,目前防火墙软件平台有的是在开放式系统(
如Linux,OpenBSD)上进行了优化,有的使用自己专用的操作系统,还有的根本就没有操作
系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小,测试防火墙性能时
将防火墙配置为最简单的方式:路由模式下内外网全通。
我们此次测试过程中,针对百兆与千兆防火墙的性能测试项目相同,主要包括:双向性
能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线
速下的延迟、吞吐量下的延迟以及帧丢失率;单向性能测试项目包括吞吐量、10%线速下的延
迟;起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。
百兆防火墙性能解析
作为用户选择和衡量防火墙性能最重要的指标之一,吞吐量的高低决定了防火墙在不丢
帧的情况下转发数据包的最大速率。在双向吞吐量中,64字节帧,安氏领信防火墙表现最为
出众,达到了51.96%的线速,NetsScreen-208也能够达到44.15%,
在单向吞吐量测试中,64字节帧长NetScreen-208防火墙成绩已经达到83.60%,位居第一
,其次是方正方御防火墙,结果为71.72%。
延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明,联想网御200
0与龙马卫士的数值不分伯仲,名列前茅。
帧丢失率决定防火墙在持续负载状态下应该转发,但由于缺乏资源而无法转发的帧的百
分比。该指标与吞吐量有一定的关联性,吞吐量比较高的防火墙帧丢失率一般比较低。在测
试的5种帧长度下,NetScreen-208在256、512和1518字节帧下结果为0,64字节帧下结果为5
7.45%。
一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能
自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后
64字节帧的吞吐量比单向吞吐量结果略高。
最大并发连接数决定了防火墙能够同时支持的并发用户数,这对于防火墙来说也是一个
非常有特色也是非常重要的性能指标,尤其是在受防火墙保护的网络向外部网络提供Web服务
的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首,而龙马卫士防火墙结果也
达到80万。
我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防
攻击测试中试图建立5万个TCP/HTTP连接,考察防火墙在启动防攻击能力的同时处理正常连接
的能力。
Syn Flood目前是一种最常见的攻击方式,防火墙对它的防护实现原理也不相同,比如,
安氏领信防火墙与NetScreen-208采用SYN代理的方式,在测试这两款防火墙时我们建立的是
50000个TCP连接背景流,两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC
P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La
nd-based三种攻击包全部都过滤掉。
Teardrop攻击测试将合法的数据包拆分成三段数据包,其中一段包的偏移量不正常。对
于这种攻击,我们通过Sniffer获得的结果分析防火墙有三种防护方法,一种是将三段攻击包
都丢弃掉,一种是将不正常的攻击包丢弃掉,而将剩余的两段数据包组合成正常的数据包允
许穿过防火墙,还有一种是将第二段丢弃,另外两段分别穿过防火墙,这三种方式都能有效
防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况
,神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况,Netscreen-208属于
第三种情况。
对于Ping Sweep和Ping Flood攻击,所有防火墙都能够防住这两种攻击,SG-300防火墙
过滤掉了所有攻击包,而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些
ping包通过,但大部分攻击包都能够被过滤掉,这种结果主要取决于防火墙软件中设定的每
秒钟通过的ping包数量。
千兆防火墙性能结果分析
由于千兆防火墙主要应用于电信级或者大型的数据中心,因此性能在千兆防火墙中所占
的地位要比百兆防火墙更加重要。总的来说,三款千兆防火墙之间的差异相当大,但性能结
果都明显要高于百兆防火墙。
双向吞吐量测试结果中,NetScreen-5200 64、128、256、512、1518字节帧结果分别为
58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低
都十分明显,NetScreen-5200的双向10%线速下的延迟相当低,64字节帧长仅为4.68祍,1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后,NetScreen-5200防火墙64字节帧长的吞吐量为62.
5%。由于ServGate SG2000H不支持路由模式,所有只测了NAT 结果,该防火墙在1518字节帧
长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结
果表明,NetScreen-5200防火墙达到100万。
在防攻击能力测试中, 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好,没
有一个攻击包通过防火墙。对于Ping of Death攻击, NetScreen-5200和阿姆瑞特F600+防火
墙丢弃了所有的攻击包,SG2000H防火墙测试时对发送的45个攻击包,丢弃了后面的两个攻击
包,这样也不会对网络造成太大的危害。在防护Teardrop攻击时,F600+防火墙丢弃了所有的
攻击包,ServGate-2000防火墙只保留了第一个攻击包,NetSreen-5200防火墙则保留了第一
和第三个攻击包,这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击
测试结果为1000个攻击包全都过滤掉。
功能综述
在我们此次测试防火墙的过程中,感受到了不同防火墙产品之间的千差万别,并通过亲
自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。
包过滤、状态检测和应用层代理是防火墙主要的三种实现技术,从此次参测的防火墙产
品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原
理。
在工作方式方面,大部分防火墙都支持路由模式和桥模式(透明模式),来自ServGate
公司的SG300和SG2000H,其工作方式主要是桥模式和 NAT模式,没有一般产品所具有的路由
模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。
百兆防火墙
与交换机走向融合?
当我们拿到要测试的防火墙时,有一个非常直观的感觉是防火墙不再只是传统的三个端
口,正在朝向多个端口方向发展,带有4个端口的防火墙非常常见,我们都知道三个端口是用
来划分内网、外网和DMZ区,那么增加的第4个端口有什么用呢?不同产品差别很大,但以用
作配置管理的为主,安氏的防火墙将该端口作为与IDS互动的端口,比较独特。像天融信网络
卫士NGFW4000则可以最多扩展到12个端口,Netscreen-208有8个固定端口,Netscreen-5200
则是模块化的千兆防火墙,可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块,这显示了防火墙与交换机融合的市场趋势。
对DHCP协议的支持方面,防火墙一般可以作为DHCP信息的中继代理,安氏领信防火墙、
清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D
HCP 服务器和客户端,这是非常独特的地方。
在VLAN支持方面,Netscreen防火墙又一次显示了强大的实力。与交换机类似,Netscre
en-208支持每个端口划分为子端口,每个子端口属于不同的VLAN,支持802.1Q,并且不同子
端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸现
管理功能是一个产品是否易用的重要标志,对此我们考察了防火墙对管理员的权限设置
、各种管理方式的易用性以及带宽管理特性。
不同的防火墙对管理员的权限分级方式不同,但总的来说,不同的管理员权限在保护防
火墙的信息的同时,通过三权分立确保了防火墙的管理者职责分明,各司其职。方正方御FG
FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制

目前,对防火墙的管理一般分为本地管理和远程管理两种方式,具体来说,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。总的来讲,像Netscreen-208、神州数码防火
墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式,非常方便用户从中选择自己
喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂,对于很多用户来说使
用会比较困难,而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明
了,这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然,很多防火墙的CLI命令
功能比较简单,主要功能还是留给了GUI管理软件,方正、联想防火墙是非常典型的例子。
从易用性的角度来讲,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我
们留下了最深刻的印象,漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火
墙的各方面,同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然,对于要集中管理
多台防火墙来说,GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正
方御的GUI管理软件安装和使用都比较容易。
带宽管理正在成为防火墙中必不可少的功能,通过带宽管理和流量控制在为用户提供更
好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支
持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量,对不同的用户,每天分
配固定的流量,当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的
流量控制实现对防火墙各个接口的带宽控制。
VPN和加密认证
防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网
御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有
VPN功能或VPN模块。作为构建VPN最主要的协议IPSec,这6款防火墙都提供了良好的支持。
安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算
法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算
法,如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地
支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防
火墙则以支持国家许可专用加密算法而具有自己的特点。当然,加密除了用于VPN之外,远程
管理、远程日志等功能通过加密也能够提升其安全性。
在身份认证方面,防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、
SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准,这也是所有参测防火墙中支持
得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙
主要用来实现管理员身份认证,认证过程采用一次性口令(OTP)的协议SKEY,可以抵抗网络窃
听。
防御功能
防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒
扫描,使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防
护能力。
在病毒扫描方面,表现最突出的当属联想网御2000,它集成了病毒扫描引擎,具有防病
毒网关的作用,能够实时监控HTTP、FTP、SMTP数据流,使各种病毒和恶意文件在途径防火墙
时就被捕获。
在内容过滤方面,大部分防火墙都支持URL过滤功能,可有效防止对某些URL的访问。清
华得实NetST2104、安氏防火墙内置的内容过滤模块,为用户提供对HTTP、FTP、SMTP、POP3
协议内容过滤,能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤
的功能。
在防御攻击方面,Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火
墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项,用户可以自主设
置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外,还有一个专门
端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现
互动,以实现更强劲的防攻击能力。
安全特性
代理机制通过阻断内部网络与外部网络的直接联系,保证了内部网的拓扑结构等重要信
息被限制在代理网关的内侧。
参测的百兆防火墙大都能够支持大多数应用层协议的代理功能,包括HTTP、SMTP、POP3
、FTP等,从而能够屏蔽某些特殊的命令,并能过滤不安全的内容。
NAT通过隐藏内部网络地址,使其不必暴露在Internet上 从而使外界无法直接访问内部
网络设备,而内部网络通过NAT以公开的IP地址访问外部网络,从而可以在一定程度上保护内
部网络。另一方面,NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都
有较强的支持功能,虽然大家叫的名称不同,但主要方式包括一对一、多对一NAT、多对多N
AT以及端口NAT。
高可用性
负载均衡的功能现在在防火墙身上也开始有所体现,Netscreen-208支持防火墙之间的负
载分担,而其他防火墙则支持服务器之间的负载均衡。
目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机
热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口,实现防火墙之
间的Active-Active高可用性。
日志审计和警告功能
防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量
的日志信息,为了在繁多的日志中进行查询和分析,有必要对这些日志进行审计和管理,同
时防火墙存储空间较小,因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都
非常必要。
安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG
FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理,可以利
用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务
器的存储方式,包括Internal、Syslog、WebTrends、flash卡等。
当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时,根据设定的规则,
防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行
报警程序等方式进行报警。
对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、
天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将
日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分
为负载日志、事件日志、自我日志三种,事件日志分为8个不同等级。
优秀的文档很关键
大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想
、方正与安氏防火墙的印刷文档非常精美全面,内容涵盖了主流的防火墙技术以及产品的详
细配置介绍,还举了很多实用的例子帮助用户比较快地配好防火墙,使用各种功能。得实Ne
tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释,非常有
利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户
手册,但缺憾在于它们全部是英文的。
千兆防火墙
此次总共收集到4款千兆防火墙产品,但北大青鸟在性能测试尚未完成时就自行退出,所
以共测试完成了三款千兆防火墙,它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表,而SG2000H则是采
用网络处理器的例子。
从实现原理来看,三者都主要是基于状态检测技术,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和桥模式,而ServGate SG2000H则支持桥模式和NAT模式

F600+支持DHCP中继代理,而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。
在VLAN支持方面,NetScreen-5200的每个端口可以设定不同子端口,每个子端口可以支持不
同的VLAN,可以非常容易集成到交换网络中。据称,该设备能够支持4000个VLAN。F600+与S
G2000H也支持802.1Q VLAN。而且,还有一点可以指出的是NetScreen-5200支持OSPF、BGP路
由协议。
从管理上来看,NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主
要通过在客户端安装GUI管理软件来进行管理,串口CLI命令功能很简单。从配置上来说,Ne
tScreen-5200配置界面非常美观,菜单清晰,并提供了向导可以指导用户快速配置一些策略
和建立VPN通道。SG2000H功能也比较强大,但配置起来比较复杂一点。阿姆瑞特的F600+在安
装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上,非常方便
用户使用,而该管理软件与防火墙之间则通过128位加密进行通信,有利于对多台防火墙
的管理。
在带宽管理上,F600+很有特色,它通过“管道”概念实现,每个管道可以具有优先级、
限制和分组等特点,可以给防火墙规则分配一个或多个管道,还可以动态分配不同管道的带
宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制
进出的网络流量。
在VPN支持方面,NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道,还支持
DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN,而SG2000
H未加VPN模块。在认证方法上,只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L
DAP。
F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器,它虽然不支持在
防火墙中记录日志,但能够在防火墙管理器中实时显示日志数据,还支持Syslog 日志服务器
,提供灵活的审计报表,并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报
表方面都支持著名的WebTrends软件和Syslog日志服务器,NetScreen还支持将日志通过flas
h卡、NetScreen Global Pro等方式进行处理。

问:袁隆平在隆平高科占多少股份

有 1337万股的股份

问:隆平高科为什么近期股价大幅下跌

整体看该股走势非常稳健,一直有长庄驻扎,前期该股有一波超过20%的上涨后遇到阻力和获利盘抛压调整至今,个人认为该股未来一段时间还会随大盘继续调整