国内外主要防火墙厂商产品剖析

合集下载

世界上最优秀的二十款防火墙

1.ZoneAlarm（ZA）——强烈推荐◆◆◆◆◆这是Zone Labs公司推出的一款防火墙和安全防护软件套装，除了防火墙外，它包括有一些个人隐私保护工具以及弹出广告屏蔽工具。

与以前的版本相比，新产品现在能够支持专家级的规则制定，它能够让高级用户全面控制网络访问权限，同时还具有一个发送邮件监视器，它将会监视每一个有可能是由于病毒导致的可疑行为，另外，它还将会对网络入侵者的行动进行汇报。

除此之外，ZoneAlarm Pro 4.5还保留了前几个版本易于使用的特点，即使是刚刚出道的新手也能够很容易得就掌握它的使用。

说明：1、安装程序会自动查找已安装的 ZoneAlarm Pro 路径。

2、如果已经安装过该语言包，再次安装前请先退出 ZA。

否则安装后需要重新启动。

2、若尚未安装 ZA，在安装完 ZA 后进行设置前安装该语言包即可，这样以后的设置将为中文界面。

3、ZA 是根据当前系统的语言设置来选择相应语言包的，如果系统语言设置为英文，则不会调用中文语言包。

4、语言包不改动原版任何文件，也适用于和 4.5.594.000 相近的版本。

如果需要，在卸载后可还原到英文版。

5、有极少量英文资源在语言包里没有，故无法汉化。

如检查升级时的提示窗口、警报信息中的“Port”。

2.傲盾（KFW）——强烈推荐◆◆◆◆◆本软件是具有完全知识版权的防火墙，使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术，与企业级防火墙Check Point 和Cisco相同，能够检测网络协议中所有层的状态，有效阻止DoS、DDoS等各种攻击，保护您的服务器免受来自I nternet上的黑客和入侵者的攻击、破坏。

通过最先进的企业级防火墙的技术，提供各种企业级功能，功能强大、齐全，价格低廉，是目前世界上性能价格比最高的网络防火墙产品。

3.Kaspersky Anti-Hacker（KAH）——一般推荐◆◆◆◆Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙！和著名的杀毒软件 AVP是同一个公司的作品！保护你的电脑不被黑客攻击和入侵，全方位保护你的数据安全！所有网络资料存取的动作都会经由它对您产生提示，存取动作是否放行，都由您来决定，能够抵挡来自于内部网络或网际网络的黑客攻击！4.BlackICE◆◆◆该软件在九九年获得了PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。

国产厂商硬件防火墙对比解析综述

国产厂商硬件防火墙对比解析综述国产厂商硬件防火墙对比解析综述防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们介绍国内几家厂商，天融信、启明星辰、联想网御、华为、安氏领信等厂商。

此次，我们将以100~500人的规模为应用对象，对各厂商的适应的“芯片”级硬件防火墙进行对比分析，分别从厂商概述、产品定位、应用领域、产品特点和功能、运行环境、典型应用、产品推荐和市场价格等多方面进行横向对比分析。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

如果以架构划分，芯片级防火墙基于专门的硬件平台，专有的ASIC芯片使它们比其他种类的防火墙速度更快，处理能力更强，性能更高，因此漏洞相对比较少。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

第三类就是网络处理器(NP)，一般只被用于低端路由器、交换机等数据通信产品，由于开发难度和开发成本低，开发周期短等原因，因此，进入这一门槛的标准相对较低，也拥有部分客户群体。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

12款防火墙比较评测报告

12款防火墙比较评测报告《网络世界》评测实验室作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。

为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。

此次送测产品有来自国内外12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWall -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST2104 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiWall 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、NetScreen-5200、Servgate SG2000H和阿姆瑞特的F600+。

三星SecuiWall防火墙和北大青鸟JB-FW1防火墙性能测试尚未全部完成就自行退出本次比较测试。

在我们评测工程师的共同努力下，顺利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC2647以及我国标准进行的定量测试和定性测试。

我们性能测试和防攻击能力主要采用Spirent公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测试软件进行测试。

在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还使用NAI公司的Sniffer Pro 软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管理性、VPN、加密认证以及日志审计等多方面功能。

2024年防火墙市场分析现状

2024年防火墙市场分析现状引言随着互联网的快速发展和普及，网络安全问题日益突出。

防火墙作为一种重要的网络安全设备，起到了保护企业内部网络安全的重要作用。

本文将对当前防火墙市场的现状进行分析，并探讨其发展趋势。

市场规模按照类型划分，防火墙市场可以分为硬件防火墙和软件防火墙两大类。

从市场规模来看，防火墙市场呈现出快速增长的趋势。

根据统计数据显示，2019年全球防火墙市场规模达到了XX亿美元，预计到2025年将达到XX亿美元。

市场竞争防火墙市场竞争激烈，主要的竞争对手有思科、诺顿、希捷等知名企业。

这些企业在技术研发和市场推广方面具有显著优势，占据了市场的一定份额。

此外，还有一些新兴企业通过创新技术和差异化的产品进行市场开拓，也取得了一定的市场份额。

市场需求随着网络攻击日益复杂和频繁，对防火墙的需求也日益增长。

企业对防火墙的要求越来越高，希望能够通过防火墙来保护其网络安全。

另外，随着移动互联网的普及，移动设备也需要防火墙来保护其网络连接的安全性。

技术趋势在防火墙技术方面，虚拟化、云计算和人工智能等新兴技术的快速发展将对防火墙市场产生重要影响。

虚拟化技术使得防火墙可以被部署在虚拟环境中，提供更灵活的网络安全解决方案。

云计算将防火墙服务外包到云端，为企业提供更便捷的网络安全保护。

人工智能技术则可以通过分析大数据和学习用户行为，实现更智能化的网络安全防护。

市场前景防火墙市场有着广阔的发展前景。

随着互联网的不断扩大和企业对网络安全的重视程度提高，防火墙市场将继续保持增长态势。

同时，新技术的不断应用将为防火墙市场带来更多的发展机会。

预计未来几年，防火墙市场的年均增长率将超过XX%。

结论综上所述，防火墙市场目前正处于快速增长的阶段。

市场竞争激烈，需求不断增加。

通过不断推陈出新和技术创新，防火墙企业可以在市场中占据一席之地。

未来几年，防火墙市场将面临更多机遇和挑战，只有不断适应市场变化和满足用户需求，企业才能在市场竞争中立于不败之地。

国产硬件防火墙横向解析

国产硬件防火墙横向解析防火墙从形式上可分为软件防火墙和硬件防火墙。

此次，我们主要介绍硬件防火墙。

防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备。

它又分为普通硬件级别防火墙和“芯片”级硬件防火墙两种。

所谓“芯片”级硬件防火墙，是指在专门设计的硬件平台，其搭建的软件也是专门开发的，并非流行的操作系统，因此可以达到较好的安全性能保障。

目前，在这一层面我们主要介绍国内四家厂商：天融信、启明星辰、联想网御、华为。

其实，选购和讨论硬件防火墙并不能单纯以规模来判断，还应该考虑防火墙产品结构、数据吞吐量和工作位置、性能级别、应用功能等诸多因素。

一、厂商概述国内硬件防火墙的品牌较多，但较早一批专注于信息安全的厂商却不多，尤其是“芯片”级的防火墙更少了。

不过价格相对较贵，做这类防火墙的国内厂商并不多，如天融信。

另外一种方式是以X86平台为代表的通用CPU芯片，是目前使用较广泛的一种方式。

这类型厂商较多，如启明星辰、联想网御、华为等。

一般而言，产品价格相对上一种较低。

1. 天融信以ASIC平台产品为主国产份额第一天融信的自主防火墙系统，首次提出TOPSEC联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段。

目前，以安全操作系统TOS为基础，开发了NGFW4000-UF及NGFW4000系列，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案。

防火墙与入侵检测四防火墙厂商及其主要产品

防火墙性能指标
配置与管理
图形化界面命令行界面
接口的数量和类型
一般设有多个内联网络接口、一个外联网络接口和用户系统配置和维护的控制接口。
日志和审计参数可用性参数
用于评价防火墙的容灾容错能力和附加的性能增强能力。主－备份双机模式，备份防火墙持续不断地检测主防火墙工作状态。双链路并行传递，实现网络负载平衡，以增强系统性能。
防护体系。提供动态或者静态的网络地址解析（NAT）和端口地址解析（PAT）功能。用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。管理方便、快捷，手段灵活。提供了较强的可管理性和可审计性。
CheckPoint
CheckPoint公司是全球首屈一指的互联网安全解决方案供应商，是Internet 安全领域的全球领先企业，在全球VPN及防火墙市场上居于领导地位。
丢包率
在不同负载情况下，因为来不及处理而不得不丢弃的数据包占收到的数据包总数的比例。
并发连接数
防火墙对业务流的处理能力，是其能够同时处理的点到点连接的最大数目。
工作模式
防火墙性能指标
工作模式
路由模式
防火墙可以让处于不同网段的计算机通过路由转发的方式互相通信。
Juniper/NetScreen公司创造了多个世界第一：第一个基于特定应用集成电路（ASIC）的平台；第一个基于ASIC的防火墙；第一个入侵检测与防护（IDP）产品，以及最全的SSL VPN产品；第一台Gigabit防火墙。
Juniper/NetScreen出品的NetScreen系列防火墙是由硬件来实现防火墙技术的网络安全产品。它将NAT、包过滤、DMZ、VPN、负载均衡及流量控制等技术集成在同一设备里，具有速度快、功能完善、设置简单和高性能价格比的优点。

国内外主流防火墙厂商竞争分析

产品线介绍-UTM产品线
定位
千兆高端
千兆中端
百兆高端百兆中端
桌面
天融信型号黒：X86 红：多核绿：NP 蓝：ASIC
TG-57K2
TG-562A
TG-5544
TG-440A
TG-330S
TG-3105
裸机列表价
对应型号
108万 3016B
61.8万 54.8万
1000A FA2
800F
市场销量分析
至08年，销售收入达3.8亿人民币防火墙与UTM产品的销售收入仍然是占总体75％以上。
40000 35000 30000 25000 20000 15000 10000
5000 0
2006
2007
2008
其他产品销售额 fw销售额 utm销售额
| Hillstone Confidential 7
银川33人
南京分公司 26人
昆明办事处 6人
海南办事处 2人
武汉分公司 16人
山东分公司 40人
天津办事处 7人
北京办事处 6人
行业人
军队军工 13
电信 5人
能源交通 6
金融制造 15
政府 11
中小企业 38人
| Hillstone Confidential 6
|
53H00ilBBlstone
USG-50
Confidential 3
华为华赛 H3C
总纲
天融信联想网御
Fortinet
网御神州
Juniper Cisco
东软
启明星辰
绿盟
| Hillstone Confidential 4

国内外著名防火墙集锦

国内外著名防火墙集锦http:GoldTach一个体积小巧但功能强大的个人防火墙，集成了4 个主要的功能：防火墙，进程控制、邮件保护、网页内容过滤。

它可以在应用层、TDI层和NDIS层截取和捕捉数据，根据现有的规则进行分析，删除恶意的数据来保护网络安全。

这就意味着你可以查看和控制进出网络的所有IP包，控制网络应用的各种操作：阻截Cookie、WSH教本和弹出广告窗口等。

http:McAfee.Personal.Firewall.Plus.2004ZoneAlarmZoneAlarm来保护你的电脑，防止Trojan（特洛伊木马）程序，Trojan也是一种极为可怕的程序。

Java applets,ActiveX空制，以防您的私人信息被窃取和损坏。

Outpost Firewall ProTiny Personal Firewall 5.1.1284Tiny Software公司是一家面向中小型网络路由器和防火墙软件的开发商，最近发布了其颇受欢迎的Tiny Personal Firewal第三版。

Tiny Personal Firewall目的是为了妨止非法使用时的不安全性，保障计算机的安全。

这一版本是基于通过ICSA认证的Win Route Pro安全保障技术，是Win Route的子集，只具备防火墙功能。

该项技术已经获得成功。

Tiny Personal Firewall 可以设置为手工启动，或者设置为一个服务器。

其中包括一个桌面管理工具，可用于对本地或远程计算机上的安全引擎进行详细配置。

用户的安全设置有高、中、低三级，通过它的包过滤特性( packet- filte ri ng ) ，每一级设置还可进行不同的配置，以满足特殊的需求。

高级用户可以建立基于断口，应用，协议和目标的规则，每当遇到新的情况，立即提示，包括拒绝，接受或者建立处理未来动作的规则。

其它的特性包括MD5 签名支持，密码保护，日志功能和高可配置的报告功能，记录特殊的侵入动作。

国内外主流防火墙分析

网盾防火墙与国内外主流防火墙分析报告一.防火墙产品类型发展趋势在防火墙十多年的发展中，防火墙厂家对防火墙的分类一直在变化，各个厂家对自己的防火墙产品有不同的标榜。

但在我看来，防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。

下面是五种典型的现行的防火墙种类。

（一.）包过滤防火墙传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。

包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。

（二.）应用代理防火墙应用级防火墙主要工作于应用层。

它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。

但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。

所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代理过渡以方便用户的使用。

（三.）混合型防火墙（Hybrid）由于希望防火墙在功能和处理上能进行融合，保证完善的应用。

许多厂家提出了混合型防火墙的概念。

他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。

而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。

（四.）全状态检测防火墙（Full State Inspection）这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。

国内外主流防火墙分析

但在我看来，防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。

下面是五种典型的现行的防火墙种类。

（二.）应用代理防火墙应用级防火墙主要工作于应用层。

它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。

所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代理过渡以方便用户的使用。

（三.）混合型防火墙（Hybrid）由于希望防火墙在功能和处理上能进行融合，保证完善的应用。

许多厂家提出了混合型防火墙的概念。

而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。

Web应用安全产品简介及主流品牌产品对比

iGuard所获资质
▪ 国家信息安全测评认证中心的信息安全产品认证 ▪ 公安部计算机信息系统安全专用产品销售许可证
目录
1 背景 2 网页防篡改 3 Web应用防火墙 4 结束
目录
3 Web应用防火墙 1 Web应用防火墙技术介绍 2 主流产品品牌和技术路线 3 安恒与绿盟产品对比
Web应用防火墙（WAF）技术介绍
▪ iGuard采用双引擎防护技术。引擎1——实时阻断，使用增强型事件触发式技术，截获所有写文件调用，对于其中的非法写行为实施了实时阻断，让常规黑客的篡改行为即时落空，同时发出报警。引擎2——核心内嵌，将篡改检测的核心内嵌到Web服务器中，仅在网页信息流出Web服务器时进行检测。
InforGuard与iGuard对比-功能比较
改”更严重的Web安全问题，如网页挂马、敏感信息失窃、数据破坏、网站成为傀儡机等。
被篡改网站统计
WEB应用价值的破坏与损失
监管部门
信息泄露
拒绝服务
网页篡改Βιβλιοθήκη 网页被篡改非法内容用户信息泄露
追责
非法入侵
服务提供者+基础网络提供者
个人信息丢失个人信息被篡改恶意程序下载网站无法访问
投诉
社会公信力下降名誉受损用户流失经济损失
▪ 其中安恒信息(DBAPPSecurity)、绿盟
(NSFOCUS)、铱讯信息、天泰、宝界、中软华泰、金电网安为国内厂商
WEB应用防火墙的工作机理
▪ Web应用防火墙主要致力于提供应用层保护，通过
对HTTP/HTTPS及应用层数据的深度检测分析，识
别及阻断各类传统防火墙无法识别•WEB的应用W防E火B墙应用攻击•Web。服务器

各系列产品概述：

各系列产品概述:1.防火墙系列十几年来,天融信专注于信息安全，国内首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片，在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革,目前已进入以自主安全操作系统TOS (Topsec Operating System) 为基础,以完全内容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFW4000、NGFW4000-UF系列60多个型号的防火墙产品.网络卫士防火墙系统集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品.目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用.据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行。

据权威数据机构IDC、CCID统计，天融信已连续十多年在网络安全硬件市场处于领先地位。

2。

网络卫士VPN系统作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自2000年开始向国内市场提供VPN产品，历经近十年的技术积累与市场考验，目前网络卫士VPN系统包括IPSEC VPN、VONE（IPSEC/SSL VPN多合一网关)两大系列，向用户提供成熟、完善的高性能VPN接入方案；拥有包括政府、金融、能源、物流、连锁服务等行业在内的两万余名用户.国家部委全球项目的实施、NPD产品开发流程及ISO9001质量体系的成功实践，验证着天融信VPN产品凭借卓越的品质与技术进入了国际领先行列。

自主知识产权的TOS （Topsec Operating System）系统平台，采用开放性系统架构及模块化设计，融合了数据加密、身份认证、访问控制等安全手段，使网络卫士VPN产品具有安全、高效、易于管理和扩展等特点.从2002年国内最早提出支持双边NAT穿越、第一个实现全动态组网；到2007年国内首发千兆线速VPN、首创全面支持分级可信接入VPN产品,2008年又在权威机构横向测评中，性能指标远远超越对手。

华为防火墙方案竞争分析

机箱
1U
3U
3U
USG6660 固定接口接口 USB 吞吐 3G wifi VPN 新建并发整机vpn vpn隧道数机箱 3U 12G 2 25G
USG6670 固定接口：4*10GE+12GE+8SFP 扩展槽:6 板卡：2*10GE+8GE 2 40G
USG6680
2 40G
IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE 15万 20万 1000万 18G 3U 25G 3U 40万
• 市场情况
• 防火墙
– 华为防火墙分为2个大系列，面向运营商的 Eudemon系列和面向企业的USG系列。 – Eudemon系列是来自华为原有的产品，目前从宣传力度和资质完全程度上，都有逐步淡出的趋势，所以和我们交集比较多的是USG6000下一代防火墙系列和USG9000高性能防火墙系列低端产品。
8G
固定接口：8GE+4SFP 扩展槽:2 板卡：2*10GE+8GE
接口 USB
吞吐
3G wifi
8G
可选可选
IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE VPN
新建
并发整机vpn
150K 200万(可扩展至400万) 6G 20K 1U
10万
400万 5G 1U
√
1级 X X 1级 X X X X 1级一级 √ √
√
√
√
√
• 产品资质
产品资质级别证书编号有效期 Eudemon1000E V1 EAL3 USG6600 防火墙 V1 EAL3 USG9000 防火墙 V3（万兆） EAL3 USG5500防火墙（万兆）（V5.3） EAL3 USG2000防火墙（百兆）（V5.3) EAL3 USG5000防火墙（千兆）（V5.3) EAL3 CNITSEC2012PRD0216 CNITSEC2013PRD0323 CNITSEC2012PRD0282 CNITSEC2012PRD0222 CNITSEC2011PRD0131 CNITSEC2011PRD0132 2015/12/4 2016年08月28日 2016年05月30日 2012年12月26日 -2015年12月26日 2011年10月12日-2014年10月11日 2011年10月12日 -2014年10月12日

主流防火墙比较

这是Netscreen VS. checkpoint 杂谈的第一部分1. 开始前的声明首先，本人在资源方面即没有netscreen，也没有checkpoint，更没有smartbits之类的测试设备，以下的内容均是本人翻遍netscreen和checkpoint网站，同时结合网络上搜集的资料中分析得出的结果，因此不可避免会有不当之处，这些地方欢迎各位资深人士指出，以便本人进一步修正和完善本文档。

其次，本文不是讲如何安装配置这些产品的，这些东西是“熟练工人“做的事情。

最后，本文对产品的各种评价均为个人看法，任何意见，非常欢迎讨论。

2. 为什么会有这么一篇文章：相对于其他安全产品，防火墙在网络的应用中要普遍的多，同时在安全市场上也是相对要成熟的技术。

但是留心的人很容易注意到，目前防火墙的宣传很乱，各家厂商都在鼓吹自己的产品，诋毁对手的产品，他们每家都可以列出来一串串的单子，宣称在某某功能超出对手。

这种例子比比皆是；与此同时，很多媒体和评测机构（国外国内均是如此）也抛出了一些不负责任的所谓公平的评测报告。

更给大家带来困惑。

本文力图按照个人理解的一些东西来描述这两种系统。

3. 架构首先我们来看防火墙的架构，这包括两个方面，软件和硬件两部分。

也就是防火墙运行在什么软件系统上以及防火墙安装的硬件平台。

架构是防火墙的骨骼，他决定了防火墙整体的工作水平和潜能。

一般而言，我们可以把常见的防火墙分为基与硬件和基于软件的两类。

基于硬件的防火墙硬件方面一般是采用专门设计的实现防火墙必要功能的ASIC，NP架构等量身定制的硬件，供防火墙跑的操作系统也是专门设计的。

而基于软件的防火墙硬件方面一般采用通用架构的pc硬件，操作系统也因此采用的多是基于unix系列或者nt系列的通用操作系统。

这里面checkpoint可以归类为基于软件的防火墙，而netscreen则是基于硬件的。

两种架构的描述：性能：netscreen没有采用传统的工业架构布局，而是使用的是独立研发体系结构，包括netscreen 专用的screenos操作系统和为实现防火墙功能而特别设计的ASIC芯片（这包括从低端的netscreen5,10的采用的megascreen芯片到高端的netscreen 500,5000等使用的Gigascreen芯片），它们与RISC处理器等设备紧密集成，为客户提供专用的防火墙的各项功能。

典型防火墙产品及其发展趋势(ppt 55页)

• （3）断开/接通网络
• 如果按下断开/接通网络按钮，那么主机就将完全与网络断开了，就好象拔下了网线一样。
• （4）程序规则设置
• 天网防火墙具有对应用程序数据包进行底层分析拦截功能，可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口，如下图：
• 输入规则的"名称"和"说明"，以便于查找和阅读。
• 选择该规则是对进入的数据包还是输出的数据包有效。对方的ip地址，用于确定选择数据包从那里来或是去哪里。任何地址是指可以接收从任何地方发来的数据包；局域网网络地址是指数据包来自和发向局域网；指定地址是用户输入的地址，指定的网络区域是你可以自己输入一个网络和掩码。还要录入该规则所对应的协议，在这里请注意，如果录入了IP协议的规则，一点要保证IP协议规则的最后一条的内容是：“ 对方地址：任何地址；动作：继续下一规则 ”。
图5.29天网防火墙信息拦截界面
• 如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复杂的数据包过滤方式。应用程序规则的设置界面如下图所示：
• 另外，天网网站可以为天网防火墙注册用户提供在线的系统检测服务。如下图。具体包括的项目和功能如下。
• 信息泄露检测：检测系统是否存在信息泄漏的危险性。如果你的电脑系统存在安全漏洞，检测系统会显示出你的计算机名，甚至会检测出你的共享文件目录和打印机的名称，并把共享目录里的具体内容列出来。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

TG-5664 TG-5564 TG-5464 TG-5166 TG-5144
98万 78万 58万 22万 20万
8G 7G 6G 4G 4G
220万 220万 220万 220万 180万
10万 10万 10万 3万 3万
千兆中端百兆高端百兆中低端
TG-460A TG-460B
18万 16万
防火墙主要厂商产品分析
安全产品
天融信
防火墙系统 VPN系统网络密码机--VPN网关产品综合安全网关系统--上网行为管理、安全网关系列过滤网关系统--防病毒产品安全审计系统--数据库审计、日志审计、网络审计入侵检测系统入侵防御系统安全管理系统--安全运营管理、策略管理、终端安全管理隔离与信息交换系统--网闸安全操作系统--开放性的系统架构及模块化设计应用流量管理系统--应用流量分析与控制应用交付产品--负载均衡、广域网优化、带宽控制
168万
120万 72万 45万
16000M
16000M 12000M 8000M
600万
300万 260万 240万
12万
6万 5万 5万
14+12千电、12+12 千光、2万光 14千电、12千光 8千电、4千光 8千电、4千光 8千电、4千电
千兆中端
百兆高端百兆中低端
USG-3600C USG-2000C
功能
端口
万兆千兆高端千兆中端百兆高端百兆中低端
U200-CA N 1000M 150万 2万基本防火墙功能、 VPN、IPS、标准网管、防病毒流量管理等基本防火墙功能、 VPN、IPS、标准网管、防病毒流量管理等 6GE
U200-A U200-M U200-CM U200-S
SecGate 3600防火墙特点
1、独立的SecOS安全协议栈 2、独创的智能高效搜索算法 3、深度的网络行为关联分析 4、全面的连接状态监控和实时阻断 5、强大的网络拓扑自适应性 6、智能便捷的配置向导和管理方式
防火墙产品线
定位型号报价
吞吐量
性能
并发数
500万
功能
每秒新建
200万基本防火墙功能、 VPN、Dos、 DDos等基本防火墙功能、 VPN、Dos、 DDos等基本防火墙功能、 VPN、Dos、 DDos等
12千电、12千光 12千电、12千光 8千电、4千电 4+10千电、10千光 4千电、4千光 4千电 8千电 8百电
千兆中端
百兆高端
百兆低端
USG-310B USG-200B
5.8万 2.98万
400M 260M
100万 80万
2万 2万
6百电 6百电
UTM产品线
定位型号报价
吞吐量
性能
并发数
4FE+2Slot 6FE 4FE 3FE+8交换点
UTM产品线
总结
网御神州新研发的高端万兆产品吞吐量高达40G，但是并没有找到相关的资料。网神官网介绍产品比较笼统，且功能也相对齐全，但实际上各种报价网站上描述的功能一般。另外网神的UTM产品主要是中低端产品。
H3C-惠普收购
安全类产品
28.8万 21万
3000M 2000M
220万 250万
4万 2.5万
IDS-IPS、内网安全防病毒、防垃圾邮件、应用过滤实时监控、日志审计
IDS-IPS、内网安全防病毒、防垃圾邮件、应用过滤实时监控、日志审计 IDS-IPS、内网安全防病毒、防垃圾邮件、应用过滤实时监控、日志审计
800万
功能
每秒新建
16万 IDS-IPS、内网安全防病毒、防垃圾邮件、应用过滤实时监控、日志审计 IDS-IPS、内网安全防病毒、防垃圾邮件、应用过滤实时监控、日志审计
端口
万兆千兆高端
USG-10000E
208万
20000M
USG-8000E
USG-5200D USG-4600D USG-4000D
F5000-A5
37万
40G
<48千电或8万电
1000-E 1000-A 1000-S 1000-C
13万 7.5万 5.5万 4.2万
8000M 6000M 2000M 2000M
400万 180万 150万 200万
10万 4万 3万 3万
4Combo、1AUX、2 千电 2千电、1MIM插槽
2千电、2千光(电) 2千电、2千光
防火墙产品特点
防火墙产品线
定位型号报价
吞吐量
性能
并发数
1000万
功能
每秒新建
40万虚拟防火墙、漏洞扫描、主动防御、绿色上网、VPN、入侵检测与防御、内容过滤、HA等基本防火墙功能、 IDS等
端口
万兆
KingGuard9202
N
40G
4万兆，48千电或光
千兆高端千兆中端
Super V-7410 Super V-5300 Super V-7318
防火墙&VPN产品统一威胁管理(UTM) 入侵管理系统(IPS)-产品线上至万兆下至百兆应用控制网关(ACG) 负载均衡产品安全管理中心-软硬件一体化安全管理中心特征库服务专区-协议、病毒、漏洞
防火墙产品线
定位型号报价
吞吐量
性能
并发数
400万
功能
每秒新建
20万基本防火墙功能、 VPN、Dos、 DDos、标准网管等
1000M 800M
140万 140万
3万 3万
TG-4324 TG-4208 TG-1508
12万 9万 5万
400M 350M 250M
100万 80万 40万
1.5万 1.5万 1万
总结
天融信的产品线很丰富，拥有整套的安全解决方案。其新研发的超万兆平台产品整机性能超百G，功能性很强。天融信的防火墙性能上还行，但是与杭州迪普、山石网科等国内公司相比还是有差距的。其产品的报价也相对比较高。
100-E 100-A
2.8万 1.9万
1000M 600M
150万 100万
2万 1.5万
4FE、2MIM插槽 3百LAN、3百WAN
100-M 100-S
1.38万 1.25万
400M 200M
60万 40万
1万 6000
3百自适应、1MIM 4百电
UTM产品线
定位型号报价
吞吐量
性能
并发数每秒新建
N N N
基本防火墙功能、 IDS等
3GBIC、8百TX 1百TX4千T、4千光 4千电、1百电
百兆高端
百兆中低端
Power V-414 Power V-514
15.6万 13万
800M 1000M
160万 180万
N N
基本防火墙功能、 IDS等
4百电 4千电
Smart V-100 Smart V-40
网御神州
安全类产品
网神SecGate 3600防火墙网神SecGate 3600安全网关网神SecSIS 3600网闸网神SecIDS 3600 入侵检测系统网神SecIPS 3600入侵防御系统网神SecAV 3600防毒墙网神SecSSL 3600安全接入网关网神SecWAF 3600应用防火墙网神SecSSM 3600服务器安全加固与管理系统网神SecBMS 3600带宽管理系统网神SecMC 3600移动云产品
4千电、4千光 4千电、4千光
USG-800C USG-800A
18万 16万
1000M 1000M
200万 180万
2万 2万
8千电 4千电
USG-600C USG-600A USG-300B
12万 10万 7.5万
400M 400M 300M
100万 120万 60万
1.5万 1.5万 1万
8百电 4百电 6百电
百兆中低端
F6
9.8万
1500M
150万
25000
基本防火墙功能、 VPN、Dos、 DDos等
基本防火墙功能、 VPN、Dos、 DDos等
8FE
F5 F4 F3 F2
N N 4.5万 N
800M 600M 400M 150M
100万 120万 80万 40万
20000 20000 N 2000
端口
万兆千兆高端千兆中端
X300
N
20G
6千电、12千光、1万光
G10 G30
50万 50万
8000M 6000M
180万 180万
N N
4GBIC插槽 6千电<24、6MSTP
G7 G4
18万 N
4000M 2000M
200万 180万
30000 28000
4千电、6千光 6千电
百兆高端
总结
启明的防火墙类产品主要以UTM为主，产品线很丰富，上至万兆核心网络到百兆低端网络，且集成了IDS、IPS、防病毒、防垃圾邮件、内网安全、实时监控与日志审计等功能；启明防火墙功能相对比较齐全，产品主要面向中小型企业市场，基本上都可以升级为UTM。
网御星云--启明收购
安全类产品
防火墙安全管理系统统一威胁管理-UTM 网络审计入侵防御系统-IPS 流量优化-FlowOpt 入侵检测系统-IDS 商用密码产品-SJJ0805商密 IPSec VPN Web应用安全防护系统-WAF SSL VPN 数据库审计防病毒网关虚拟化安全网关网络密码机加固安全网关网闸单向网闸