好久没发技术类的帖子了，今天有时间-----关于防火墙

xuanren

防火墙，分软件和硬件两种（这是我的划分）。（从分类上来说，可以有多种分配方式。比如，按功能可以分为过滤拉，代理拉，综合类拉等等。今天主要是从属性来分）

软件防火墙：

国内的软件防火墙，有天网等，因为国内的软件防火墙我接触的不多，而且从易用性来说，很容易上手，所以不多说

而国外的软件防火墙，功能上比较有特点的有 norton,(还有一款比较出名的，但一时想不起来了,什么zone来着)


硬件防火墙：

国内的硬件防火墙，我接触下来也至少有4，5种，象中软华泰，东软，天融信，东方龙马，华堂，联想（最近这款广告力度很大，上层关系做的也不错，整个上海公务网都是联想的防火墙）。我感觉，国内的防火墙，就是那种工业的工控机（其实从本质来说，它跟硬件PC差别不大，硬件也就这么几个，诸如CPU，内存拉，网卡了，只不过它的防震，防火等属性要比家用PC规格高而已）。国内的防火墙，从大方向来说，就是用的工控机的设备+安全的操作系统（类UNIX系统，诸如freebsd,openbsd,red hat等去掉些不必要的服务，内核尽可能的小，但所有诸如httpd,smtpd等服务完善等，最好能小到能放到一块dam的闪存上，那就更好了）+ipchains（iptables）+前台操作平台。差不多，国内的防火墙都是这类配置，所以要在做到国外防火墙那种线速控制，或那种吞吐量，会话并发数等简直是痴人说梦，毕竟硬件掌握在别人手里，我们确实不能做什么。


国外的硬件防火墙，netscreen拉，cisco的PIX，checkpoint其实属于软件防火墙，但最近和nokia提供的硬件集成的非常好，据说已经成为业界典范。netscreen我接触的挺多，它的产品系列确实很广，这方面比国内的好多了，而且从易用和稳定上来说，国内确实还有很长的路要走。。。


以上是我的一点个人观点，不负什么行为责任。。。


下面是我摘抄的一些内容的综合比较，应该对大家有所帮助：

硬件防火墙

用专用芯片处理数据包，CPU只作管理之用。

使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞。

高带宽，高吞吐量，真正线速防火墙。即实际带宽与理论值可以达到一致.

安全与速度同时兼顾。

没有用户限制。

性价比高。

管理简单，快捷，NetScreen 系列更提供Web方式管理。

识别方法:
产品外观为硬件机箱形,此类防火墙一般不会对外公布其CPU或RAM等硬件水平,其核心为硬件芯片。

典型产品:
NetScreen系列防火墙
--------------------------------------------------------------------

软硬件结合防火墙

机箱+CPU+防火墙软件集成于一体（PC BOX 结构），市面上大部分声称“硬件”防火墙的产品都采用这种结构。

采用专用或通用操作系统。

核心技术仍然为软件，容易形成网络带宽瓶颈。

只能满足中低带宽要求，吞吐量不高。通常带宽只能达到理论值的20%--70%。

中低流量时可满足一定的安全要求，在高流量环境下会造成堵塞甚至系统崩溃。

性价比不高。

管理比较方便。

识别方法:
产品外观为硬件机箱形,此类防火墙一般会对外强调其CPU与RAM等硬件水平。

典型产品:
Cisco PIX防火墙
清华紫光防火墙

---------------------------------------------------------------------------

软件防火墙

运行在通用操作系统上的能安全控制存取访问的软件，性能依靠于计算机CPU,内存等。

基于众所周知的通用操作系统（如Win NT,SUN Solaris,SCO UNIX等），对底层操作系统的安全依赖性很高。

由于操作系统平台的限制，极易造成网络带宽瓶颈。因此，实际所能达到的带宽通常只有理论值的20%--70%。

可以满足低带宽低流量环境下的安全需要，高速环境下容易造成系统崩溃。

有用户限制，一般需要按用户数购买，性价比极低。

管理复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护。


识别方法:
此类防火墙一般都有严格的系统硬件与操作系统要求.产品为软件。


典型产品:
Check Point
Net Eyes


---------------------------------------------------------------------


写了这么多，不知道有没有朋友兴趣看。

最近一直很忙，也没什么时间写些安全技术的文章，也请朋友们谅解，有什么问题，可以来http://inoitforum.yeah.net指教，我们欢迎您的到来。。。


有时间，我还会写些从其他方面（功能拉等等）的比较类文章，希望对大家能有所帮助

不说了，周末还要加班。。。痛苦啊。。。工作了。。。呵呵

xuanren

要有证的老大

公安部销售许可证，军密（解放军）那个证，甚至还有保密局的那个证

没那些，没法卖的，关系是最主要的了。。。

我是看透了。。。想我们这种鸟不拉屎的公司，竟然拿到了涉密网络资质，只有2级系统集成资质的公司才能有资格申请的呀。。。寒。。。今年已经停办了。。。我是看穿了，还是别指望自己创业了，老老实实自己呆着吧。。。

ilsem

奶奶的，去弄几台386，486什么的装个unix什么的再装个杀毒引擎。。。。我也开始行骗。。。。。

xuanren

趋势科技，熊猫什么的，都在卖防毒墙，就是个工控，加个类LINUX系统，再加个杀毒引擎，就叫防毒墙了。。。靠。。。才发现网络安全也是一大骗啊

ilsem

原文由 xuanren 发表

ok! 网络防毒墙前阵子上海电信好像在搞一个这类东东的免费试用？不知道嘉定有没有？

xuanren

duday:这是国内的舆论的问题，常概念混淆的推出什么网络防毒墙，误导消费者

其实那只是个硬件设备加装了专门的杀毒引擎，软件当硬件卖，就叫网络防毒墙。

防火墙就是专门的边界安全的工具，旨在通过包过滤或应用代理防止或尽可能的阻止网络内部被外部非法使用或非法入侵。。。

还有小i：duday是我兄弟，他主要不是从事这行的，术业有专攻么，我想你也别这么苛刻，OK？

ilsem

原文由 duday 发表

这位仁兄回家先把病毒防火墙和网络防火墙的概念搞搞清楚，不要到这里来闹笑话。。。

duday

那具体是怎么通过什么方式防毒的,是和杀毒软件类似的那种吗?
如果是的话,纯硬件防火墙怎么升级病毒库.还有就是这种防火墙能否防止黑客攻击?

xuanren

XX隔壁的。。。

正经么也不好，搞地下工作么也不好。。。

这世道叫人怎么活。。

这个帖子都快变成XX贴了。。。XX的，以后不写了。。。



此贴由 gundam_xx 在 2003-03-10 14:25:10 最后编辑

ilsem

原文由 冰封的火 发表

难得正经。。。。

冰封的火

我已经放弃这个专业了……
看不看都是浪费……

xuanren今天好正经哦~~~~~~