您现在的位置是:首页 > IT基础架构 > 网络与安全 >
功能划分 高性能硬件防火墙导购
2008-10-23 16:24:00作者:零下N℃来源:
摘要对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能一直被认为是影响网络性能的瓶颈。用户要如何筛选在不同功能下性能表现更好的防火墙,让在启动各项功能的同时确保防火墙的高性能,就成了大家迫切希望知道的。今天,笔者按功能划分为大家介绍...
在组建网络环境时,安全性永远是用户非常看重的一个因素,这就考虑到用户如何选择防火墙的问题了。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
今天,我们主要了解的是硬件防火墙。对于网络设备来说,性能都是率先要考虑的问题。与其他网络设备相比,防火墙的性能一直被认为是影响网络性能的瓶颈。用户要如何筛选在不同功能下性能表现更好的防火墙,让在启动各项功能的同时确保防火墙的高性能,就成了大家迫切希望知道的。今天,笔者按功能划分为大家介绍几款防火墙,让用户在选购的时候更得心应手。
防火墙导购
单/双向吞吐性能
吞吐量是测量防火墙性能的重要指标。网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
通过测试,在单向吞吐量方面值得推荐的产品为NetScreen-208防火墙,双向为 联想 网御 2000FW GL。
NetScreen-208防火墙(参考价:132000元)
NetScreen-208是目前市场上功能最多的防火墙产品,它具有8个自适应10/100M以太网端口,延续了NetScreen防火墙优秀的线速处理能力(550Mbps)--即使在对系统资源要求极高的应用中(诸如VPN-3DES加密)也能保持超过200Mbps的速率。
多个可灵活配置的端口更有效地把需要保护的特别区域与潜在威胁分离开来。在每个端口上都可以设置防火墙保护策略,配置针对28种攻击手段的保护策略。NetScreen-208防火墙系列可以把任一端口设置为遵守IPSec协议的VPN通道的起点或终点,从而搭建功能更强的VPN网络。
集中星型的(hub-and-spoke)VPN网络的中央站点。用户不需要为每个远程站点之间单独建立VPN通道,只需在远程和中央站点间设立一个VPN通道,让中央站点把网络流量导引到正确的远程站点。
产品还具有高度的可用性(冗余设备)。可以方便地集成在许多不同的网络环境中,包括大中型企业的办公室,电子商务网站,数据中心和电信运营基础设施。
|
基本参数 |
|
|
并发连接数 |
128000 |
|
网络吞吐量 |
550Mbps |
|
管理 |
SNMP |
|
过滤带宽 |
200Mbps |
|
人数限制 |
无用户数限制 |
|
入侵检测 |
Dos |
|
主要功能 |
所有的端口都可防止拒绝服务式攻击和其他攻击, 可以针对来自于外部和内部的攻击提供安全保护措施。每个端口都可配置针对28种攻击手段的保护策略, 以便在当今不断变化的网络中增加安全防护的机动灵活性并提高了安全系数 |
|
安全标准 |
FCC, U, CE, CUL, C-Tick, VCCI, BSMI, CSA |
|
控制端口 |
RS-232 |
|
其他端口 |
8个10/100M 以太网接口 |
|
尺寸大小 |
300×427×44mm |
|
产品重量 |
3.500kg |
联想 网御 2000FW GL(参考价:94000元)
联想针对电信、ISP/IDC等用户网络高带宽、大数据流量、业务不可中断、网络结构复杂的需求,研制开发并推出了基于网络处理器(NP)技术的真正千兆线速硬件防火墙:联想网御2000 FW GL千兆线速防火墙。
其基于NP、采用高性能的IXP/PCI高速总线结构的架构、专用的动态协议处理器、独特的安全策略快速匹配算法,确保在加载大量安全规则的情形下,真正实现了全双工状态的千兆数据传输性能。联想网御千兆防火墙可在透明方式下实时检测出600多类、1000余种攻击行为,能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等。
技术特色网络拓扑适应能力强,网络接口配置灵活,可广泛应用于不同的网络环境网络数据处理能力强,可支撑网络中大数据流的吞吐自主知识产权的产品内核,系统安全性和抗攻击能力强防火墙基本功能丰富,配置简便,可实现在网络中的快速部署支持集中管理功能,可作为网络防火墙系统的控制核心支持双机热备,进一步提高关键业务运行的可靠性产品通过多方权威认证,稳定性、可靠性强,完全满足关键业务的安全运行需求.
同时,联想网御2000 FW GL千兆线速防火墙在设计上参照电信网络骨干设备的可靠性标准,大量采用冗余配备,确保电信级应用的可靠性。路由和透明通信模式,自适应不同的网络环境,方便用户在不调整网络结构的情形下透明接入。
|
基本参数 |
|
|
并发连接数 |
1200000 |
|
VPN支持 |
支持 |
|
安全标准 |
FCC Class A |
|
入侵检测 |
Dos |
|
用户数限制 |
无用户数限制 |
|
网络吞吐量(Mpps) |
2000 |
|
控制端口 |
RS-232 |
|
管理 |
SNMP |
|
外观参数 |
长度(mm)533*宽度(mm)438*高度(mm)89 |
|
环境参数 |
工作温度(℃)0 - 40 |
|
工作湿度10% - 95% |
|
起NAT功能后的性能
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,他的作用是可以让多台没有实际IP地址的机器使用防火墙的地址连接到Internet。一般来讲,防火墙起NAT后的性能要比起之前的单向性能略微低一些,因为启用NAT功能自然要多占用一些系统的资源。清华得实NetST 2104防火墙通过测试,在这方面的表现相当不错。
清华得实NetST 2104防火墙(参考价:88000元)
NetST防火墙除可以通过Console口配置管理外,还可以通过NetST?Java管理控制台配置管理。Java管理控制台是可运行在多操作系统上的GUI图形化管理控制台,可以对多个防火墙集中管理以及SSL和SSH安全通讯下的远程管理。
NetST防火墙可以和内容过滤系统、计费系统以及入侵检测系统共同组成综合的安全防护层,并由NetSC安全管理中心实时可视化地统一设备管理、策略管理和审计。
NetST防火墙在一般防火墙功能的基础上,还增加了以下功能:
.支持访问模式匹配功能,可根据需要有效地防止木马软件以及QQ,BT等软件。
.提供对可能的危险信息或容易挤占网络带宽的数据的过滤,如URL攻击检测、URL关键字、对HTTP协议中携带的Java Applet、Java脚本、ActiveX脚本、Servlet、CGI、PHP、图像、音频视频、Flash等信息的过滤,提供对PROXY方式下的内容过滤和HTTP、FTP、SMTP、POP3协议的深度内容过滤。
.多出口(多ISP)支持、VRRP支持、宽带接入(PPPoE和DHCP)。
.支持对单IP进行连接数限制,支持用户自定义最大并发连接数。
.支持多出口的路由均衡。
.支持全交叉冗余链路,两台防火墙同时工作进行流量均衡,同时进行端口备份,从而提高整个系统的稳定性和容错性。
|
基本参数 |
|
|
并发连接数 |
300000 |
|
VPN支持 |
支持 |
|
用户数限制 |
500 |
|
入侵检测 |
Dos、DDoS |
|
控制端口 |
RS-232 |
|
管理 |
SNMP |
|
电源电压(V) |
220 |
|
外观参数 |
长度(mm) 440*宽度(mm) 255*高度(mm) 44 |
|
环境参数 |
工作温度( ℃) 0 - 50 |
|
工作湿度 5%~90%,非冷凝 |
|
|
存储温度( ℃) -40 - 70 |
|
|
存储湿度 5%~90%,非冷凝 |
|
阿姆瑞特F600+千兆防火墙(参考价:592000元)
阿姆瑞特F600+防火墙具有多种工作模式、NAT地址转换、状态检测、应用代理、VPN、IP/MAC地址绑定、流量控制、带宽管理、双机热备、负载均衡、内容过滤、日志审计、VLAN支持、入侵检测、远程升级及防火墙状态检测等功能,同时具有不同于其它防火墙的特色功能——支持动态IP和支持与防病毒网关联动。
阿姆瑞特F600+防火墙支持动态IP,其接口可以动态地获得IP地址,能够灵活地接入用户网络。支持与网络反病毒联动,可以防止病毒对网络的侵扰。F600+防火墙在管理上通过采用分级管理的方式来实现管理权限的划分,采用面向对象的管理技术,如基于名称的管理、组策略的管理,并提供常用的策略模板,提高了配置的灵活性,简化了管理员的管理工作。同时还提供采用加密技术的远程管理和集中管理,并支持SNMP协议。
阿姆瑞特F600+起NAT功能对其性能影响很小。测试中延迟很小,7种包长延迟均低于19us,这样的结果可以满足实际应用中对延迟的需求,64Byte包单向吞吐量达到了线速的14%,TCP/HTTP并发连接数接近30万个,能够满足大多数实际应用的需要。
阿姆瑞特F600+防火墙是一款功能比较齐全、管理方便、性能较高的产品,能够满足大型企业、互联网服务提供商和电信运营商对于网络安全性和带宽的要求。
|
基本参数 |
|
|
并发连接数 |
1000000 |
|
VPN支持 |
支持 |
|
网络吞吐量(Mbps) |
1500 |
|
安全过滤带宽(Mbps) |
180 |
|
用户数限制 |
无用户数限制 |
|
入侵检测 |
Dos、DDoS |
|
安全标准 |
Security Architecture for the Internet Protocol (RFC 2401), AH (RFC 2402),ESP (RFC 2406), ISAKMP DOI (RFC 2407), ISAKMP (RFC 2408), IKE (RFC 2409) |
|
控制端口 |
RS-232 |
|
管理 |
SNMP |
|
电源电压(V) |
110 - 240 |
|
重量(Kg) |
8 |
|
外观参数 |
长度(mm) 435*宽度(mm) 435*高度(mm) 88 |
|
环境参数 |
工作温度( ℃) 0 - 50 |
|
工作湿度 10% - 90% |
|
|
存储温度( ℃) -20 - 70 |
|
|
存储湿度 5% - 95% |
|
最大并发连接数
并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。而在这个指数的测试中,天融信 NGFW 4000防火墙表现相当出色。
天融信NGFW 4000防火墙(参考价:158000元)
NGFW 4000防火墙是天融信公司2002年推出的创新产品,采用独创的安全构架,领先的核检测技术,构造了一个安全、高效、可靠的防火墙系统。
网络卫士防火墙系统采用专有的易于管理的平台,包括了全套的安全服务——防火墙、VPN、入侵检测/阻断和流量控制,同时还具有高效的应用层服务,如反病毒、内容过滤等功能。
NGFW 4000防火墙不是一个功能单一的防火墙,而是一个可与众多安全设备联动使用、功能丰富的防火墙系统。同时,NGFW 4000独特的设计技术保证了"真正千兆":由于采用基于OS内核的会话检测技术,面向资源的设计、全新的物理实现和专用的通信协议,NGFW 4000可以支持高达100万条以上的并发连接,吞吐能力达到860M以上,真正保证了千兆设备的性能。
防火墙4000 通过使用大量独创性专利技术,构造了一个安全、高效、可靠、应用广泛、方便灵活的防火墙系统;同时为客户提供最优秀的性能及功能保证;另外成熟的实现和支持了天融信的TOPSEC 协议和体系。
防火墙4000 特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
|
基本参数 |
|
|
硬件参数 |
3个10/100BASE-TX口,最多可扩展7个端口 |
|
构架 |
X86 |
|
网络吞吐量 |
100M |
|
并发连接数 |
1200000 |
|
管理方式 |
图形界面、命令行、SSH |
|
VPN支持 |
无限制 |
|
入侵检测 |
有 |
|
设备联动 |
支持 |
|
主要功能 |
支持透明、路由、混合工作模式,支持网络地址转换,访问控制,QoS,VLAN与生成树,设备认证、会话认证、一次性口令,负载均衡,DHCP,链路备份,多播,容错与高可用性,日志,报警,实时监控,报文调试,ARP、SNMP、NTP、CDP |
文章总结:
此次导购我们主要通过对单/双向性能、起NAT功能后的性能和最大并发连接数几项技术统计的结果为大家推荐在测试中表现突出的防火墙产品。由于防火墙之间体系结构和实现方式的巨大差异性,从而也就使得不同防火墙之间的性能差异非常明显,不是单单通过参数来体现性能的。希望通过这 篇导购对防火墙用户有所帮助。
(本文不涉密)
责任编辑:
上一篇:2009年起,我们都是爱国者
下一篇:实例讲解如何选购好的无线上网卡
特别推荐
 |
站点信息
- 运营主体:中国信息化周报
- 商务合作:赵瑞华 010-88559646
- 微信公众号:扫描二维码,关注我们
