（ZT）安全产品选择指南 （ZT）安全产品选择指南                 之让选购防火墙不是一个难题篇                        作者:Cryus :QQ 99564861(欢迎加我一起讨论网络安全) 网络安全是一个大的课题，各安全厂商推出的产品五花八门，除防病毒（anti-virus)外，防火墙(firewall)是一个大众所最熟悉安全产品， 用户所接触较少的安全产品还包括入侵检测（IDS），入侵防护系统(IPS), 网闸，虚拟专网（如IPSEC, SSL）, 漏洞扫描，安全审计，行为管理等等。 这么大一堆产品，加上厂商的市场宣传策略，使得用户在选购产品时一头雾水。我推荐用户应要根据自己的实际需求和资金状况选择产品种类和品牌。如资金有限，且公司需要建立虚拟网，又要在网关的级别上保证网络安全，则可选择firewall和vpn集成的产品。在选择具体产品时，则要进行对比，如产品稳定性，公司的技术支持能力，产品功能等。下面是对防火墙产品的一个个人分析，各位可作参考 一： 防火墙分类 按产品类型分 1： 硬件防火墙  主要功能用网络处理器或ASIC或FPGA等专用芯片加速处理，主要特点是处理速度快，这类产品中国外的居多，如基于ASIC的NetScreen(主要是由几位清华大学毕业在美华人创办，现已被Juniper收购),FortiGate(其实也是从NetScreen中分离出来的), NetScreen和FortiGate的关系就象国内华为和港湾的关系。国内也有一些基于Intel IXP4XX的产品，如速通, 博华, 东软等等，这类产品虽然称用了NP,但是因为用的是低端的IXP4XX,只适合100M环境，在1000M或万M环境的防火墙国内基于IXP12XX/IXP2XXX还只是一个声势，没有一家有成熟产品推出，据我了解，在2年前国内就有公司如： 天融信，海信，博华等用基于ENP2611（Radisys 公司为IXP2400制作的一个开发板）开发防火墙，但至今仍未推出一个完整的产品，当然还有 联想推出的超五，声称采用了NP技术。 2： 软件防火墙  如checkpoint(以色列的一个在世界安全界做得最好的公司)，还有其它如天网防火墙,还有就是 microsoft XP自带的防火墙，Linux 下的iptables（iptables是一个命令，基于iptables上的基于GUI方式的fwbuilder，基于文本的shorewall等）,BSD下的ipfilter等等。 这类产品的等点就是可以灵活部署，因为只针对一台主机，或一个小的网络，则速度并不是问题。 3： 软硬结合防火墙  其实就是软件防火墙+专用PC机（工控机或服务器），国内200多个的安全产商中，95％都是这种架构，包括天融信， 东软，博华，联想，海信，东方龙马，网威，甚至思科的PIX, 诺基亚(可选购硬件加速，但一般是专用机+checkpoint)等 还可以按其他方法分类，如保护等级： 基于包过滤级，基于代理级，基于状态级，混合级，现在的产品80％的产品都是基于混合级 按功能分： anti-virus+firewall+vpn+ips四合一型， firewall+vpn合一型，单firewall型，国内产品一般都是firewall+vpn合一型， anti-virus+firewall+vpn+ips四合一型的产品有FortiGate，博华 按处理能力分：SOHO型，100M型，1000M型，甚至万M型 还有其它分类方法，就看各厂商的销售策略了:) 二：用户选择注意点：     1： 根据需求选择产品     2： 确认书面功能和实物的实际功能一致     3： 如果您是高端用户，最好能打开厂端的机器，看到底是ASIC还是NP还是通用CPU     4： 不要完成相信测试机构，其中关系和猫腻说不清，     5： 完全不要相信基于软硬结合防火墙的64 byte的性能能达到100%, 30％到顶了，除非厂商拿1000M产品当100M测，当然性能高一级别     6:  稳定性最重要，最好试用10天以上     7： 在能达到需求的产品上，选择技术支持能力强的厂商     8:  如果您相信自己的能力，完全自己搭建一个防火墙，也有为您做好的免费的，如IPcop(就象安装一个linux一样简单)，为老板节约资金，说不定老板会多发点奖金呢，您会发现，安全产商也不过如此，呵呵     9: 多比较，多选择     10： 在您认为什么都不是问题的情况下，买一个防火墙只是应付检查，完全可能选购回扣高的厂商，当然我不支持这样做，担风险啊。呵呵~~     11： 记住 价格不要压得太低，如果太低会影响以后的服务啊！     12:  选择注册资金最起码在500万以上的公司，IT公司可以说其实就是在烧钱，一，两百万的公司如果经营不善，不出1年半载就会88         的     13: 产品是否被权威部门检查，并有销售许可证，如公安部，军检，信息安全测评认证等        后话： 个人见意，仅供参考。请关注后续 VPN和 IDS/IPS篇 [ 关闭窗口 ]