防火墙与入侵检测四防火墙厂商及其主要产品.ppt

防火墙性能指标 知名防火墙厂商及其主要产品 本章小结防火墙性能指标l 评估时需要考虑的因素：可靠性、可用性、可扩展性、可审计性、可管理性以及成本耗费。l 评估参数的选择：吞 吐 量（Throughput）、时 延(Latency)、丢 包 率(Packet loss rate)、并 发 连 接 数、工 作 模 式（包 括 路 由 模 式、网 络 地 址 转 换(NAT)模 式 和 透 明 模 式）、配 置 与 管 理 方 式、接 口 的 数 量 和 类 型、日 志 和 审计 功 能、可 用 性 参 数 以 及 其 它 参 数（一 般 指 内 容 过 滤、入 侵 检 测、用户认证和VPN与加密几种主要的附加功能）等。防火墙性能指标 可靠性 包括两层含义：一是防火墙能够加强网络的安全性；二是防火墙本身是安全可靠的，具有较强的抗攻击能力。可用性 可用性同样包含两层含义：一是防火墙可以提供多种工作模式，多种检测手段来灵活、便捷地实施安全策略，对于用户的安全性保护来说是可用的；二是对于任何因设备运行异常而出现的错误，防火墙都可以自动地进行处理，保证防火墙可以持续不断地运行，主要指基于故障转移、群集或者其他策略的冗余体系结构和备份过程等。防火墙性能指标 可扩展性 防火墙能够适应用户网络结构和规模的变化。可审计性 为了有效监控网络数据流，防火墙应该具有较强的事件分类记录和自动分析、审计功能。防火墙应该能够对网络事件进行细粒度地分类记录，对于任何超过正常阈值范围的异常事件，可以通过多种手段进行通知和告警。防火墙还应该能够自动对事件数据进行分析，主动地发现潜在的威胁行为，提供攻击预报功能。防火墙性能指标 可管理性 防火墙应该为管理员提供友好且简单的图形界面，以利于管理员快速、便捷地进行防火墙运行参数和执行安全策略的配置，减少因为配置操作的复杂性带来的系统漏洞。成本耗费 根据用户需求而决定的设备采购费用。硬件组件和软件组件是一次性费用，而整体运行成本与设备生命周期相关，包括使用、维护和升级等操作发生的费用。防火墙性能指标 评估参数 吞吐量 防火墙转发数据包的能力。每秒钟可以通过防火墙的最大数据流量，通常用防火墙在不丢包的条件下每秒转发包的最大数目来表示。时延 在系统重载情况下，防火墙是否会成为网络访问服务的瓶颈。时延指的是在防火墙最大吞吐量的情况下，数据包从到达防火墙到被防火墙转发出去的时间间隔。丢包率 在不同负载情况下，因为来不及处理而不得不丢弃的数据包占收到的数据包总数的比例。并发连接数 防火墙对业务流的处理能力，是其能够同时处理的点到点连接的最大数目。工作模式防火墙性能指标 工作模式 路由模式 防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。网络地址转换模式 NA T 模式实际是路由模式的一种。这种模式将内联网络的IP 地址翻译成外联网络的一个或多个合法地址，然后访问Int ernet。透明模式 可以过滤通过防火墙的数据包，而不会修改数据包包头中的源地址或目的地址信息。不但可以完成同一网段的数据包转发，而且不需要修改周边网络设备的设置。防火墙性能指标 配置与管理 图形化界面 命令行界面 接口的数量和类型 一般设有多个内联网络接口、一个外联网络接口和用户系统配置和维护的控制接口。日志和审计参数 可用性参数 用于评价防火墙的容灾容错能力和附加的性能增强能力。主备份双机模式，备份防火墙持续不断地检测主防火墙工作状态。双链路并行传递，实现网络负载平衡，以增强系统性能。其他知名防火墙厂商及其主要产品4.2.2 Cisco Juniper/NetScreen 4.2.4 Fortinet CheckPoint 4.2.6 安氏 WatchGuard 4.2.8 东软 天融信Juniper/NetScreenl NetScreen由 三 位 留 美 的 清 华 学 子 创 建，其 防 火 墙 和VPN产 品 无 论 从 性 能 指 标还是质量上都位居世界前列。l Juniper/NetScreen公 司 创 造 了 多 个 世 界 第 一：第 一 个 基 于 特 定 应 用 集 成 电路（ASIC）的 平 台；第 一 个 基 于ASIC的 防 火 墙；第 一 个 入 侵 检 测 与 防 护（IDP）产品，以及最全的SSL VPN产品；第一台Gigabit防火墙。l Juniper/NetScreen出 品 的NetScreen 系 列 防 火 墙 是 由 硬 件 来 实 现 防 火 墙 技 术的 网 络 安 全 产 品。它 将NAT、包 过 滤、DMZ、VPN、负 载 均 衡 及 流 量 控 制 等 技 术集成在同一设备里，具有速度快、功能完善、设置简单和高性能价格比的优点。l 其 防 火 墙 产 品 的 具 体 功 能 特 性 为：拥 有 专 用 的 操 作 系 统ScreenOS、拥 有 专 门优 化 的 硬 件 增 强 技 术、集 成VPN、灵 活 的 流 量 管 理、基 于ASIC的 访 问 策 略 的 执行、管理简单快捷。Cisc ol 可能是历史上最有名的网络公司。l 其安全产品特性如下：n 可在单一设备中集成丰富的安全服务。n 使用专用的安全操作系统，消除了各种安全风险，提高可靠性。n 安全功能强大，可综合利用各种先进技术。n 支持IKE和IPSec VPN标准。n 融 合 了 入 侵 检 测 的 功 能。还 可 与 思 科 网 络 入 侵 解 决 方 案 相 集 成，构 成 统 一 的 网 络防护体系。n 提供动态或者静态的网络地址解析（NAT）和端口地址解析（PAT）功能。n 用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。n 管理方便、快捷，手段灵活。n 提供了较强的可管理性和可审计性。CheckPointl CheckPoint公 司 是 全 球 首 屈 一 指 的 互 联 网 安 全 解 决 方 案 供 应 商，是Internet安全领域的全球领先企业，在全球VPN及防火墙市场上居于领导地位。l CHECKPOINT VPN-1/FireWall-1是业界领先的企业级安全性套件。l CheckPoint公司防火墙产品具有如下特性：n 状态检测技术n OPSEC（Open Platform for Secure Enterprise Connectivity）n 集中管理下的分布式客户机/服务器结构n 对网络协议的广泛支持n 增强的身份认证（包括用户认证、客户认证和会话认证三种方法）n 加密n 内容安全Fortinetl Fortinet公 司 的 创 始 人、总 裁 与CEO谢 青（Ken Xie）是NetScreen公 司 的 原 执 行 总 裁 兼创 办 人 之 一。Fortinet 公 司 的 技 术 总 监 为 全 球 著 名 防 毒 专 家、WildList的 创 始 人Joe Wells。l Fortinet是 新 一 代 网 络 实 时 安 全 防 御 网 关 的 技 术 引 领 者。首 家 推 出 基 于ASIC硬 件 体 系结 构 的FortiGate 防 火 墙。该 系 列 产 品 已 获 得 国 际 著 名 的ICSA Lab的 防 病 毒、IPSec、NIDS和防火墙四项认证证书，是全球唯一同时拥有这四项证书的厂家。l FortiGate系列防火墙产品的功能特性如下：n 病毒检测与蠕虫防御。n 状态检测。n 实现了实时的、基于网络的IDS/阻断。n 虚拟专用网（VPN）。n 支持内容过滤。n 提供了多种管理配置手段。n 具有较强大的日志记录与分析功能。WatchGuardl WatchGuard公 司 是 全 球 排 名 前 五 位 的 专 业 生 产 防 火 墙 的 公 司 之 一。WatchGuard公 司 以 生 产 即 插 即 用Internet安 全 设 备“Firebox”系 列 和 相 应 的服务器安全软件而闻名于世。l WatchGuard在 全 球 首 创 了 专 用 安 全 系 统；首 家 将 应 用 层 安 全 结 合 到 防 火 墙 系统 中；首 创 了 可 全 面 升 级 的 整 合 安 全 网 关；首 创 可 全 面 升 级 的 统 一 威 胁 管 理（UTM）产品。l WatchGuard的 产 品 包 括 从 高 端 到 低 端 的Firebox X Peak、Firebox X Core 和Firebox X Edge 三 大 系 列，均 具 有 防 火 墙、VPN、网 关 防 毒、入 侵 防 御、网站 分 类 过 滤（WebBlocker）、垃 圾 邮 件 拦 截（spamBlocker）、反 间 谍 软 件 等多 项 网 络 安 全 与 内 容 安 全 防 御 功 能。三 个 系 列 的 主 要 区 别 是 应 用 环 境 不 同：Firebox X Peak系 列 适 用 于 高 级 网 络 环 境，Firebox X Core系 列 适 用 于 公 司 和分 支 机 构，Firebox X Edge系 列 适 用 于 中 小 型 企 业、远 程 办 公 室 和 远 程 工 作 人员。l WatchGuard的产品具有高安全性、易用性、较高的性价比等特点。安氏l 安 氏 是 一 家 以 技 术 著 称 的 专 业 信 息 安 全 公 司，它 成 功 开 发 了 全 新 一 代安 全 管 理 解 决 方 案 安 全 运 行 中 心（Security Operation Center,简称SOC）。l 安 氏 公 司 在 电 信、金 融 等 行 业 率 先 推 出 了 整 体 信 息 安 全 管 理 方 案，其主要产品是“领信”系列安全产品。天融信l 天 融 信 公 司 于1996年 推 出 了 中 国 第 一 套 自 主 版 权 的 防 火 墙 产 品，具 有填 补 国 内 空 白 的 重 要 意 义。随 后 几 年 又 推 出 了VPN、IDS、过 滤 网 关、安 全 审 计、安 全 管 理 等 一 系 列 安 全 相 关 产 品。2001年 组 织 并 构 建 了TOPSEC联 动 协 议 安 全 标 准，提 出 了 一 套 集 各 类 安 全 产 品 和 集 中 管 理、集 中 审 计 为 一 体 的TOPSEC安 全 解 决 方 案。又 于2004年 底 率 先 提 出“可信 网 络 架 构（TNA）”，强 化 可 信 安 全 管 理 在 安 全 建 设 中 的 核 心 地 位，通过全局安全管理，实现多层次的积极防御和综合防范。l 2000年 至2004 年，天 融 信 公 司 市 场 份 额 连 续 五 年 均 居 国 内 安 全 厂 商之 首。据 两 大 权 威 咨 询 机 构IDC及CCID统 计：天 融 信2004年 全 年 防 火 墙市场份额超过了16%，名列所有国内外安全厂商第一位。l 天 融 信 公 司 的 银 河 防 火 墙（NGFW4000-UF TG-5736）是 国 内 首 款 具 备万 兆 网 络 接 入 能 力 的 防 火 墙 产 品。网 络 卫 士 猎 豹 系 列 防 火 墙 则 采 用 了真正拥有的具有国产知识产权的新一代可编程安全芯片。东软l 东软是中国领先的软件与解决方案提供商。l 东 软 的NetEye防 火 墙(FW)产 品 采 用 独 创 的 基 于 状 态 包 过 滤 的“流 过 滤”体 系 结 构，保 证 了 从 数 据 链 路 层 到 应 用 层 的 完 全 高 性 能 过 滤，并 可以 进 行 应 用 级 插 件 的 及 时 升 级 和 安 全 威 胁 的 有 效 防 护，实 现 网 络 安 全的动态保障。l NetEye防 火 墙 采 用NP架 构，运 行 于NetEye安 全 操 作 系 统 之 上，具 有 高吞 吐 量、低 延 迟、零 丢 包 率 和 强 大 的 缓 冲 能 力。同 时NetEye防 火 墙 集成VPN功 能，简 单 及 人 性 化 的 虚 拟 通 道 设 置，有 效 提 高 了VPN的 部 署 灵活性、可扩展性，降低了部署维护的成本。小结 防火墙的性能评估标准 防火墙的一些常用指标 典型防火墙产品，代表了防火墙设备发展的方向