防火墙与入侵检测四防火墙厂商及其主要产品.ppt

第四章 防火墙厂商及产品介绍,防火墙性能指标知名防火墙厂商及其主要产品本章小结,防火墙性能指标,评估时需要考虑的因素：可靠性、可用性、可扩展性、可审计性、可管理性以及成本耗费。评估参数的选择：吞吐量（Throughput）、时延(Latency)、丢包率(Packet loss rate)、并发连接数、工作模式（包括路由模式、网络地址转换(NAT)模式和透明模式）、配置与管理方式、接口的数量和类型、日志和审计功能、可用性参数以及其它参数（一般指内容过滤、入侵检测、用户认证和VPN与加密几种主要的附加功能）等。,防火墙性能指标,可靠性包括两层含义：一是防火墙能够加强网络的安全性；二是防火墙本身是安全可靠的，具有较强的抗攻击能力。可用性可用性同样包含两层含义：一是防火墙可以提供多种工作模式，多种检测手段来灵活、便捷地实施安全策略，对于用户的安全性保护来说是可用的；二是对于任何因设备运行异常而出现的错误，防火墙都可以自动地进行处理，保证防火墙可以持续不断地运行，主要指基于故障转移、群集或者其他策略的冗余体系结构和备份过程等。,防火墙性能指标,可扩展性防火墙能够适应用户网络结构和规模的变化。可审计性为了有效监控网络数据流，防火墙应该具有较强的事件分类记录和自动分析、审计功能。防火墙应该能够对网络事件进行细粒度地分类记录，对于任何超过正常阈值范围的异常事件，可以通过多种手段进行通知和告警。防火墙还应该能够自动对事件数据进行分析，主动地发现潜在的威胁行为，提供攻击预报功能。,防火墙性能指标,可管理性防火墙应该为管理员提供友好且简单的图形界面，以利于管理员快速、便捷地进行防火墙运行参数和执行安全策略的配置，减少因为配置操作的复杂性带来的系统漏洞。成本耗费根据用户需求而决定的设备采购费用。硬件组件和软件组件是一次性费用，而整体运行成本与设备生命周期相关，包括使用、维护和升级等操作发生的费用。,防火墙性能指标,评估参数吞吐量防火墙转发数据包的能力。每秒钟可以通过防火墙的最大数据流量，通常用防火墙在不丢包的条件下每秒转发包的最大数目来表示。时延在系统重载情况下，防火墙是否会成为网络访问服务的瓶颈。时延指的是在防火墙最大吞吐量的情况下，数据包从到达防火墙到被防火墙转发出去的时间间隔。丢包率在不同负载情况下，因为来不及处理而不得不丢弃的数据包占收到的数据包总数的比例。并发连接数防火墙对业务流的处理能力，是其能够同时处理的点到点连接的最大数目。工作模式,防火墙性能指标,工作模式路由模式防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。网络地址转换模式NAT模式实际是路由模式的一种。这种模式将内联网络的IP地址翻译成外联网络的一个或多个合法地址，然后访问Internet。透明模式可以过滤通过防火墙的数据包，而不会修改数据包包头中的源地址或目的地址信息。不但可以完成同一网段的数据包转发，而且不需要修改周边网络设备的设置。,防火墙性能指标,配置与管理图形化界面命令行界面接口的数量和类型一般设有多个内联网络接口、一个外联网络接口和用户系统配置和维护的控制接口。日志和审计参数可用性参数用于评价防火墙的容灾容错能力和附加的性能增强能力。主备份双机模式，备份防火墙持续不断地检测主防火墙工作状态。双链路并行传递，实现网络负载平衡，以增强系统性能。其他,知名防火墙厂商及其主要产品,4.2.2 Cisco,Juniper/NetScreen,4.2.4 Fortinet,CheckPoint,4.2.6 安氏,WatchGuard,4.2.8 东软,天融信,Juniper/NetScreen,NetScreen由三位留美的清华学子创建，其防火墙和VPN产品无论从性能指标还是质量上都位居世界前列。Juniper/NetScreen公司创造了多个世界第一：第一个基于特定应用集成电路（ASIC）的平台；第一个基于ASIC的防火墙；第一个入侵检测与防护（IDP）产品，以及最全的SSL VPN产品；第一台Gigabit防火墙。Juniper/NetScreen出品的NetScreen系列防火墙是由硬件来实现防火墙技术的网络安全产品。它将NAT、包过滤、DMZ、VPN、负载均衡及流量控制等技术集成在同一设备里，具有速度快、功能完善、设置简单和高性能价格比的优点。其防火墙产品的具体功能特性为：拥有专用的操作系统ScreenOS、拥有专门优化的硬件增强技术、集成VPN、灵活的流量管理、基于ASIC的访问策略的执行、管理简单快捷。,Cisco,可能是历史上最有名的网络公司。其安全产品特性如下：可在单一设备中集成丰富的安全服务。使用专用的安全操作系统，消除了各种安全风险，提高可靠性。安全功能强大，可综合利用各种先进技术。支持IKE和IPSec VPN标准。融合了入侵检测的功能。还可与思科网络入侵解决方案相集成，构成统一的网络防护体系。提供动态或者静态的网络地址解析（NAT）和端口地址解析（PAT）功能。用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。管理方便、快捷，手段灵活。提供了较强的可管理性和可审计性。,CheckPoint,CheckPoint公司是全球首屈一指的互联网安全解决方案供应商，是Internet安全领域的全球领先企业，在全球VPN及防火墙市场上居于领导地位。CHECKPOINT VPN-1/FireWall-1是业界领先的企业级安全性套件。CheckPoint公司防火墙产品具有如下特性：状态检测技术 OPSEC（Open Platform for Secure Enterprise Connectivity）集中管理下的分布式客户机/服务器结构 对网络协议的广泛支持 增强的身份认证（包括用户认证、客户认证和会话认证三种方法）加密 内容安全,Fortinet,Fortinet公司的创始人、总裁与CEO谢青（Ken Xie）是NetScreen公司的原执行总裁兼创办人之一。Fortinet公司的技术总监为全球著名防毒专家、WildList的创始人Joe Wells。Fortinet是新一代网络实时安全防御网关的技术引领者。首家推出基于ASIC硬件体系结构的FortiGate防火墙。该系列产品已获得国际著名的ICSA Lab的防病毒、IPSec、NIDS和防火墙四项认证证书，是全球唯一同时拥有这四项证书的厂家。FortiGate系列防火墙产品的功能特性如下：病毒检测与蠕虫防御。状态检测。实现了实时的、基于网络的IDS/阻断。虚拟专用网（VPN）。支持内容过滤。提供了多种管理配置手段。具有较强大的日志记录与分析功能。,WatchGuard,WatchGuard公司是全球排名前五位的专业生产防火墙的公司之一。WatchGuard公司以生产即插即用Internet安全设备“Firebox”系列和相应的服务器安全软件而闻名于世。WatchGuard在全球首创了专用安全系统；首家将应用层安全结合到防火墙系统中；首创了可全面升级的整合安全网关；首创可全面升级的统一威胁管理（UTM）产品。WatchGuard的产品包括从高端到低端的Firebox X Peak、Firebox X Core 和Firebox X Edge 三大系列，均具有防火墙、VPN、网关防毒、入侵防御、网站分类过滤（WebBlocker）、垃圾邮件拦截（spamBlocker）、反间谍软件等多项网络安全与内容安全防御功能。三个系列的主要区别是应用环境不同：Firebox X Peak系列适用于高级网络环境，Firebox X Core系列适用于公司和分支机构，Firebox X Edge系列适用于中小型企业、远程办公室和远程工作人员。WatchGuard的产品具有高安全性、易用性、较高的性价比等特点。,安氏,安氏是一家以技术著称的专业信息安全公司，它成功开发了全新一代安全管理解决方案安全运行中心（Security Operation Center,简称SOC）。安氏公司在电信、金融等行业率先推出了整体信息安全管理方案，其主要产品是“领信”系列安全产品。,天融信,天融信公司于1996年推出了中国第一套自主版权的防火墙产品，具有填补国内空白的重要意义。随后几年又推出了VPN、IDS、过滤网关、安全审计、安全管理等一系列安全相关产品。2001年组织并构建了TOPSEC联动协议安全标准，提出了一套集各类安全产品和集中管理、集中审计为一体的TOPSEC安全解决方案。又于2004年底率先提出“可信网络架构（TNA）”，强化可信安全管理在安全建设中的核心地位，通过全局安全管理，实现多层次的积极防御和综合防范。2000年至2004年，天融信公司市场份额连续五年均居国内安全厂商之首。据两大权威咨询机构IDC及CCID统计：天融信2004年全年防火墙市场份额超过了16%，名列所有国内外安全厂商第一位。天融信公司的银河防火墙（NGFW4000-UF TG-5736）是国内首款具备万兆网络接入能力的防火墙产品。网络卫士猎豹系列防火墙则采用了真正拥有的具有国产知识产权的新一代可编程安全芯片。,东软,东软是中国领先的软件与解决方案提供商。东软的NetEye防火墙(FW)产品采用独创的基于状态包过滤的“流过滤”体系结构，保证了从数据链路层到应用层的完全高性能过滤，并可以进行应用级插件的及时升级和安全威胁的有效防护，实现网络安全的动态保障。NetEye防火墙采用NP架构，运行于NetEye安全操作系统之上，具有高吞吐量、低延迟、零丢包率和强大的缓冲能力。同时NetEye防火墙集成VPN功能，简单及人性化的虚拟通道设置，有效提高了VPN的部署灵活性、可扩展性，降低了部署维护的成本。,小结,防火墙的性能评估标准防火墙的一些常用指标典型防火墙产品，代表了防火墙设备发展的方向,