防火墙术语及产品比较

network

　　防火墙术语解释


　　封包过滤型：封包过滤型防火墙的控制方式会检查所有进出防火墙的封包标头内容，如对来源及目地IP、使用协定、TCP或UDP的Port 等信息进行控制管理。现在的路由器、SwitchRouter以及某些操作系统已经具有用Packet Filter控制的能力。封包过滤型防火墙的控制方式最大的好处就是效率高，但是却有几个严重的缺点：比如管理复杂，无法对连线作完全的控制，还有规则设置的先后顺序会严重影响结果，不易维护以及记录功能少。

　　NAT技术：NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

　　应用层闸通道型：应用层闸通道型的防火墙采用将连线动作拦截，由一个特殊的代理程序来处理两端间的连线的方式，并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作，而不会被client端或server端欺骗，在管理上也不会像封包过滤型那么复杂。但必须针对每一种应用写一个专属的代理程序，或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式，但也是效能最低的一种方式。

　　封包检验型：封包检验型的控制机制是通过一个检验模组对封包中的各个层次做检验。封包检验型可谓是封包过滤型的加强版，目的是增加封包过滤型的安全性，增加控制“连线”的能力。但由于封包检验的主要检查对象仍是个别的封包，不同的封包检验方式可能会产生极大的差异。其检查的层面越广将会越安全，但其相对效能也越低。 封包检验型防火墙在检查不完全的情况下，可能会造成问题。去年被公布的有关Firewall-1的Fast Mode TCP Fragment的安全弱点就是其中一例。这个为了增加效能的设计反而成了安全弱点。

　　状态检测技术：基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普通的包过滤有着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。

　　包过滤技术：包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包，拒绝发送可疑的包。在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包头信息中包括IP源地址、IP目标地址、内装协议、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口。当这些包被送上互联网时，防火墙会读取接收者的IP并选择一条物理上的线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后会在目的地重新组装还原。

　　防火墙产品介绍

　　Firewall-1 NG是Check Point Next Generation(NG)安全解决方案中的核心防火墙，它将原有的状态信息表进行了整合和优化，使其记录、查询性能更高。它支持ICMP协议，接受基于ICMP的回包和错误信息并对其进行监测，同时还支持非TCP/UDP/ICMP协议的数据包。根据不同的配置，其应用对象从5个人的小公司到电信级的大客户。 Check Point的OPSEC开放式安全平台能部署支持Check Point的安全虚拟网络架构平台。

　　国内外防火墙产品都提供了静态网络地址转换功能， 即通过预先设定的地址转换表，去完成一组内部IP地址到外部IP地址的一对一转换。三星SecuiWALL 1.0防火墙提供虚拟IP功能，并提供端口映射。端口映射完成一个外部地址的某一TCP或UDP端口到一个内部地址的某一端口的转换。端口映射主要用于让外部主机访问位于内部网络的服务器。利用虚拟IP还实现了负载均衡功能。

　　天融信“网络卫士”NG FW3000-4T3防火墙在安全管理上采用一次性口令和SSL协议等 ，具有较好的访问控制控制功能；功能上，它在提供访问控制、防御功能、用户认证、安全管理等基本功能的同时，还提供一些特殊功能，如双机热备、带宽管理、VPN、与IDS联动等；性能上，它的表现比较突出，其中吞吐量结果随着以太帧长的增加呈稳定增长，在256Byte时吞吐量已经达到线速的99.82%。

　　在诸多国内防火墙产品中，东软的Neteye防火墙近年来占领了很大的市场分额，NetEye 3.0是其最新版本，具备了身份鉴别、访问控制和审计等能力。NetEye防火墙能够很好的控制用户的内部网络和外部Internet网络之间的各种访问，保护内部的关键资源，同时又不会造成网络的瓶颈。还可以在内部网的关键节点进行不同安全区域间的分割，建立多层次的安全保护体系与最初版本相比，NetEye 3.0增加了流过滤、核心多处理器平台、基于GUI的管理系统等新功能。Neteye 3.1计划在近期发布，将把防火墙和VPN整合在一起。

　　Symantec的“Enterprise Firewall 7.0”除了提高运行速度以外还简化了集中管理。在“Enterprise Firewall 7.0”中，通过在防火墙中可选整合了具有高实用性/负荷平衡解决方案，从而可以提高系统有效工作时间（Up Time），并改变吞吐量。 “Enterprise Firewall 7.0”还提供了完整的检查引擎和自动化的系统强化功能。另外，该产品还支持最安全并且高速运行的最新加密算法程序AES（Advanced Encryption Standard）。该产品提供超过1.5Gbit/秒的数据传输速度，对应T1线路以及千兆位以太网络等高速网络。

　　中网“黑客愁防火墙”的管理方便、易于配置、日志完整是其主要特点。“黑客愁”将整个系统配置分为三级：快速配置、普通配置和高级配置。其日志审计能够提供给管理员流经防火墙的数据流的有用信息，并提醒管理员在适当的时候要修改防火墙高级配置中的相关策略。“黑客愁”在吞吐量、时延、丢包率、并发连接数等方面的表现也是众多国内防火墙中比较出色的。尤其是吞吐量，随着数据包祯长的增加，吞吐量能呈线速稳定增长，而且时延非常小，这对于网络单一接入的防火墙来讲，出现网络瓶颈的可能性会很小。