好久没发技术类的帖子了，今天有时间-----关于防火墙

xuanren

防火墙，分软件和硬件两种（这是我的划分）。（从分类上来说，可以有多种分配方式。比如，按功能可以分为过滤拉，代理拉，综合类拉等等。今天主要是从属性来分）

软件防火墙：

国内的软件防火墙，有天网等，因为国内的软件防火墙我接触的不多，而且从易用性来说，很容易上手，所以不多说

而国外的软件防火墙，功能上比较有特点的有 norton,(还有一款比较出名的，但一时想不起来了,什么zone来着)


硬件防火墙：

国内的硬件防火墙，我接触下来也至少有4，5种，象中软华泰，东软，天融信，东方龙马，华堂，联想（最近这款广告力度很大，上层关系做的也不错，整个上海公务网都是联想的防火墙）。我感觉，国内的防火墙，就是那种工业的工控机（其实从本质来说，它跟硬件PC差别不大，硬件也就这么几个，诸如CPU，内存拉，网卡了，只不过它的防震，防火等属性要比家用PC规格高而已）。国内的防火墙，从大方向来说，就是用的工控机的设备+安全的操作系统（类UNIX系统，诸如freebsd,openbsd,red hat等去掉些不必要的服务，内核尽可能的小，但所有诸如httpd,smtpd等服务完善等，最好能小到能放到一块dam的闪存上，那就更好了）+ipchains（iptables）+前台操作平台。差不多，国内的防火墙都是这类配置，所以要在做到国外防火墙那种线速控制，或那种吞吐量，会话并发数等简直是痴人说梦，毕竟硬件掌握在别人手里，我们确实不能做什么。


国外的硬件防火墙，netscreen拉，cisco的PIX，checkpoint其实属于软件防火墙，但最近和nokia提供的硬件集成的非常好，据说已经成为业界典范。netscreen我接触的挺多，它的产品系列确实很广，这方面比国内的好多了，而且从易用和稳定上来说，国内确实还有很长的路要走。。。


以上是我的一点个人观点，不负什么行为责任。。。


下面是我摘抄的一些内容的综合比较，应该对大家有所帮助：

硬件防火墙

用专用芯片处理数据包，CPU只作管理之用。

使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。

高带宽，高吞吐量，真正线速防火墙。即实际带宽与理论值可以达到一致.

安全与速度同时兼顾。

没有用户限制。

性价比高。

管理简单，快捷，NetScreen 系列更提供Web方式管理。

识别方法:
产品外观为硬件机箱形,此类防火墙一般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片。

典型产品:
NetScreen系列防火墙
--------------------------------------------------------------------

软硬件结合防火墙

机箱+CPU+防火墙软件集成于一体（PC BOX 结构），市面上大部分声称“硬件”防火墙的产品都采用这种结构。

采用专用或通用操作系统。

核心技术仍然为软件，容易形成网络带宽瓶颈。

只能满足中低带宽要求，吞吐量不高。通常带宽只能达到理论值的20%--70%。

中低流量时可满足一定的安全要求，在高流量环境下会造成堵塞甚至系统崩溃。

性价比不高。

管理比较方便。

识别方法:
产品外观为硬件机箱形,此类防火墙一般会对外强调其CPU与RAM等硬件水平。

典型产品:
Cisco PIX防火墙
清华紫光防火墙

---------------------------------------------------------------------------

软件防火墙

运行在通用操作系统上的能安全控制存取访问的软件，性能依靠于计算机CPU,内存等。

基于众所周知的通用操作系统（如Win NT,SUN Solaris,SCO UNIX等），对底层操作系统的安全依赖性很高。

由于操作系统平台的限制，极易造成网络带宽瓶颈。因此，实际所能达到的带宽通常只有理论值的20%--70%。

可以满足低带宽低流量环境下的安全需要，高速环境下容易造成系统崩溃。

有用户限制，一般需要按用户数购买，性价比极低。

管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。


识别方法:
此类防火墙一般都有严格的系统硬件与操作系统要求.产品为软件。


典型产品:
Check Point
Net Eyes


---------------------------------------------------------------------


写了这么多，不知道有没有朋友兴趣看。

最近一直很忙，也没什么时间写些安全技术的文章，也请朋友们谅解，有什么问题，可以来http://inoitforum.yeah.net指教，我们欢迎您的到来。。。


有时间，我还会写些从其他方面（功能拉等等）的比较类文章，希望对大家能有所帮助

不说了，周末还要加班。。。痛苦啊。。。工作了。。。呵呵

ilsem

难得正经一回，帮你顶一下

xuanren

咳。。。

难得写些技术性的东西的，竟然没人看。。。

真是打击我的积极性啊。。。

麦约翰

顶~~~~~

鱼翅汤

不实用看了浪费！

xuanren

楼上的朋友，照您的观点，实用的概念指的是什么/

术业有专功，技术有专长，在自己不擅长的领域里，多吸收，多学习，不更能扩大自己的知识面么？

知道剑桥为什么诺贝尔得奖者全球最多么？就是因为其不定期的为不同学术范围内的学生召开研讨会，从其他经验中获得自己所需要的东西。。。

我不想多说什么，就您的观点。。。鄙视。。。

冰封的火

我已经放弃这个专业了……
看不看都是浪费……

xuanren今天好正经哦~~~~~~

ilsem

原文由 冰封的火 发表

难得正经。。。。

xuanren

XX隔壁的。。。

正经么也不好，搞地下工作么也不好。。。

这世道叫人怎么活。。

这个帖子都快变成XX贴了。。。XX的，以后不写了。。。



此贴由 gundam_xx 在 2003-03-10 14:25:10 最后编辑

duday

那具体是怎么通过什么方式防毒的,是和杀毒软件类似的那种吗?
如果是的话,纯硬件防火墙怎么升级病毒库.还有就是这种防火墙能否防止黑客攻击?