防火墻術語及產(chǎn)品比較

第第頁防火墻術語及產(chǎn)品比較防火墻術語及產(chǎn)品比較

發(fā)表于：2023-06-23來源：：點擊數(shù)：標簽：

防火墻術語解釋封包過濾型：封包過濾型防火墻的控制方式會檢查所有進出防火墻的封包標頭內容，如對來源及目地IP、使用協(xié)定、TCP或UDP的Port等信息進行控制管理。現(xiàn)在的路由器、SwitchRouter以及某些操作系統(tǒng)已經(jīng)具有用PacketFilter控制的能力。封包過濾

防火墻術語解釋

封包過濾型：封包過濾型防火墻的控制方式會檢查所有進出防火墻的封包標頭內容，如對來源及目地IP、使用協(xié)定、TCP或UDP的Port等信息進行控制管理?，F(xiàn)在的路由器、SwitchRouter以及某些操作系統(tǒng)已經(jīng)具有用PacketFilter控制的能力。封包過濾型防火墻的控制方式最大的好處就是效率高，但是卻有幾個嚴重的缺點：比如管理復雜，無法對連線作完全的控制，還有規(guī)則設置的先后順序會嚴重影響結果，不易維護以及記錄功能少。

NAT技術：NAT（網(wǎng)絡地址轉換）是一種將一個IP地址域映射到另一個IP地址域技術，從而為終端主機提供透明路由。NAT包括靜態(tài)網(wǎng)絡地址轉換、動態(tài)網(wǎng)絡地址轉換、網(wǎng)絡地址及端口轉換、動態(tài)網(wǎng)絡地址及端口轉換、端口映射等。NAT常用于私有地址域與公用地址域的轉換以解決IP地址匱乏問題。在防火墻上實現(xiàn)NAT后，可以隱藏受保護網(wǎng)絡的內部拓撲結構，在一定程度上提高網(wǎng)絡的安全性。如果反向NAT提供動態(tài)網(wǎng)絡地址及端口轉換功能，還可以實現(xiàn)負載均衡等功能。

應用層閘通道型：應用層閘通道型的防火墻采用將連線動作攔截，由一個特殊的代理程序來處理兩端間的連線的方式，并分析其連線內容是否符合應用協(xié)定的標準。這種方式的控制機制可以從頭到尾有效地控制整個連線的動作，而不會被client端或server端欺騙，在管理上也不會像封包過濾型那么復雜。但必須針對每一種應用寫一個專屬的代理程序，或用一個一般用途的代理程序來處理大部分連線。這種運作方式是最安全的方式，但也是效能最低的一種方式。

封包檢驗型：封包檢驗型的控制機制是通過一個檢驗模組對封包中的各個層次做檢驗。封包檢驗型可謂是封包過濾型的加強版，目的是增加封包過濾型的安全性，增加控制“連線”的能力。但由于封包檢驗的主要檢查對象仍是個別的封包，不同的封包檢驗方式可能會產(chǎn)生極大的差異。其檢查的層面越廣將會越安全，但其相對效能也越低。封包檢驗型防火墻在檢查不完全的情況下，可能會造成問題。去年被公布的有關Firewall-1的FastModeTCPFragment的安全弱點就是其中一例。這個為了增加效能的設計反而成了安全弱點。

狀態(tài)檢測技術：基于防火墻所維護的狀態(tài)表的內容轉發(fā)或拒絕數(shù)據(jù)包的傳送，比普通的包過濾有著更好的網(wǎng)絡性能和安全性。普通包過濾防火墻使用的過濾規(guī)則集是靜態(tài)的。而采用狀態(tài)檢測技術的防火墻在運行過程中一直維護著一張狀態(tài)表，這張表記錄了從受保護網(wǎng)絡發(fā)出的數(shù)據(jù)包的狀態(tài)信息，然后防火墻根據(jù)該表內容對返回受保護網(wǎng)絡的數(shù)據(jù)包進行分析判斷，這樣，只有響應受保護網(wǎng)絡請求的數(shù)據(jù)包才被放行。對用戶來說，狀態(tài)檢測不但能提高網(wǎng)絡的性能，還能增強網(wǎng)絡的安全性。

包過濾技術：包過濾技術(IpFilteringorpacketfiltering)的原理在于監(jiān)視并過濾網(wǎng)絡上流入流出的Ip包，拒絕發(fā)送可疑的包。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡上，所有往來的信息都被分割成許許多多一定長度的信息包，包頭信息中包括IP源地址、IP目標地址、內裝協(xié)議、TCP/UDP目標端口、ICMP消息類型、包的進入接口和出接口。當這些包被送上互聯(lián)網(wǎng)時，防火墻會讀取接收者的IP并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。

防火墻產(chǎn)品介紹

Firewall-1NG是CheckPointNextGeneration(NG)安全解決方案中的核心防火墻，它將原有的狀態(tài)信息表進行了整合和優(yōu)化，使其記錄、查詢性能更高。它支持ICMP協(xié)議，接受基于ICMP的回包和錯誤信息并對其進行監(jiān)測，同時還支持非TCP/UDP/ICMP協(xié)議的數(shù)據(jù)包。根據(jù)不同的配置，其應用對象從5個人的小公司到電信級的大客戶。CheckPoint的OPSEC開放式安全平臺能部署支持CheckPoint的安全虛擬網(wǎng)絡架構平臺。

國內外防火墻產(chǎn)品都提供了靜態(tài)網(wǎng)絡地址轉換功能，即通過預先設定的地址轉換表，去完成一組內部IP地址到外部IP地址的一對一轉換。三星SecuiWALL1.0防火墻提供虛擬IP功能，并提供端口映射。端口映射完成一個外部地址的某一TCP或UDP端口到一個內部地址的某一端口的轉換。端口映射主要用于讓外部主機訪問位于內部網(wǎng)絡的服務器。利用虛擬IP還實現(xiàn)了負載均衡功能。

天融信“網(wǎng)絡衛(wèi)士”NGFW3000-4T3防火墻在安全管理上采用一次性口令和SSL協(xié)議等，具有較好的訪問控制控制功能；功能上，它在提供訪問控制、防御功能、用戶認證、安全管理等基本功能的同時，還提供一些特殊功能，如雙機熱備、帶寬管理、VPN、與IDS聯(lián)動等；性能上，它的表現(xiàn)比較突出，其中吞吐量結果隨著以太幀長的增加呈穩(wěn)定增長，在256Byte時吞吐量已經(jīng)達到線速的99.82%。

在諸多國內防火墻產(chǎn)品中，東軟的Neteye防火墻近年來占領了很大的市場分額，NetEye3.0是其最新版本，具備了身份鑒別、訪問控制和審計等能力。NetEye防火墻能夠很好的控制用戶的內部網(wǎng)絡和外部I網(wǎng)絡之間的各種訪問，保護內部的關鍵資源，同時又不會造成網(wǎng)絡的瓶頸。還可以在內部網(wǎng)的關鍵節(jié)點進行不同安全區(qū)域間的分割，建立多層次的安全保護體系與最初版本相比，NetEye3.0增加了流過濾、核心多處理器平臺、基于GUI的管理系統(tǒng)等新功能。Neteye3.1計劃在近期發(fā)布，將把防火墻和VPN整合在一起。

Symantec的“EnterpriseFirewall7.0”除了提高運行速度以外還簡化了集中管理。在“EnterpriseFirewall7.0”中，通過在防火墻中可選整合了具有高實用性/負荷平衡解決方案，從而可以提高系統(tǒng)有效工作時間（UpTime），并改變吞吐量?！癊nterpriseFirewall7.0”還提供了完整的檢查引擎和自動化的系統(tǒng)強化功能。另外，該產(chǎn)品還支持最安全并且高速運行的最新加密算法程序AES（AdvancedEncryptionStandard）。該產(chǎn)品提供超過1.5Gbit/秒的數(shù)據(jù)傳輸速度，對應T1線路以及千兆位以太網(wǎng)絡等高速網(wǎng)絡。

中網(wǎng)“黑客愁防火墻”的管理方便、易于配置、日志完整是其主要特點?！昂诳统睢睂⒄麄€系統(tǒng)配置分為三級：快速配置、普通配置和高級配置。其日志審計能夠提供給管理員流經(jīng)防火墻的數(shù)據(jù)流的有用信息，并提醒管理員在適當?shù)臅r候要修改防火墻高級配置中的相關策略?！昂诳统睢痹谕掏铝?/p>