硬件防火墙

每当说到UTM设备时，人们总习惯性的认为，它是针对小企业而设计的安全设备，因为相对于大企业来说，小企业没有经济能力承当昂贵的专业防火墙设备。但是随着UTM设备技术的发展，它不再仅仅是小企业的宠儿，对于大企业来说，它同样是颇具吸引力的一类安全设备，成为传统防火墙的一个强力挑战者。

在上篇合勤科技统一安全网关USG100的评测文章中，我们一起体验了这个综合性网络设备的强大路由功能，在本篇评测文章中我们将继续看一下它的安全和统一威胁管理(UTM)功能。

对于中小企业局域网来说，由于网络结构比较简单，主机数量较少，往往忽视了网络的安全性建设，从而导致黑客和恶意分子可以轻松入侵。最近国际知名网络设备厂商合勤科技推出了几款适合中小企业的网络安全设备，今天我们就为大家介绍一下其统一安全网关ZyWALL USG100

并发连接数直接体现了被测的UTM在应用中所能维持的最大会话数，它直接反映出设备能够满足网络应用规模的大小。测试中，为了避免由于UTM的最大数据处理量以及新建能力因素的影响，我们在模拟客户机访问HTTP服务器的应用时，采用大小仅为64字节的访问页面，而且在增加连接请求数量时，也未采用固定新增速率的方式，而是使用分步、分批次的请求增加，使UTM尽可能多的消化和处理用户的访问请求，这样得到的并发连接数指标也是UTM在提供相应功能时，所能维持的最大并发会话数。

UTM与单功能产品相比，它所提供的安全防护功能更为丰富。而由于各厂商所运用的技术不同，即使是相同的功能模块，所包含的内容也并不一样，仅单一功能项所能实现的防护效果就有很大差别，更何况是统一威胁管理设备这样一个综合多种功能的设备。而且除了功能设计外，产品在启用众多功能模块后的性能表现，以及设备在管理和使用中的易用性等因素都会对安全防护效果造成直接影响。因而对于用户来说，在没有实际使用的情况下，仅从产品宣传资料中获取的信息进行产品的比较，做出选购决定显然非常草率。

以目前仍是网络安全市场中占有率最高的网络防火墙来说，目前仍主要基于包过滤、状态包过滤以及应用代理、状态检测等技术。基于包过滤的产品只是对通信数据包的包头信息进行提取，与策略表对照，放行规则所允许的源地址与目的地址间的相应应用。由于在一些正常应用中，内网用户访问外网时本机的端口是随机的，为了让这些应用得到正常通过，防火墙只能将所有可能用到的端口实行静态开放，这样的内网防护就变的非常脆弱。因而纯粹基于包过滤的产品已经非常少见，更多产品采用了状态包过滤的技术。

目前常用的防火墙有两种结构：即子网过滤结构的防火墙和主机过滤的防火墙。对于这两种结构的防火墙我们所提供的基本服务包括：终端访问、文件传输、电子邮件、Usenet新闻、www（万维网）浏览以及域名服务DNS。

领信CyberWall-204防火墙基于专门设计的硬件平台，以安氏的安全操作系统LTOS为核心，高度集成了防火墙、ASIC VPN、入侵检测、带宽管理、防拒绝服务网关、多媒体通信安全、认证授权、内容安全控制、ADSL接入安全、高可用性配置能力等众多安全角色，提供高度安全、可信和强大的安全解决方案，真正实现了单一设备对您网络的全方位防护。

CheckPoint i-Security SP-5500标配3个千兆以太网口，有应用需要时网口最多可以扩展到12个，有一个串型控制口。另外这款产品采用了冗余电源设计，增加了平台的运行稳定性和可维护性。i-Security的硬件加速装置采用安全优化芯片和减负载引擎技术（TOE）的应用，分担了CPU大部分的底层检测负荷，使CPU处理能力更多应用在高层检测上，在遇到DoS攻击的情况下，也不会影响到防火墙的性能。

　　用随机带的CONSOLE线，一头接计算机串口，一头接E1端口，在计算机上打开超级终端进行配置，用户名，密码都是NETSCREEN。

Cisco-Pix515e-r-IKE配置示例

Pix-Pix的配置

在信息安全日益突出的今天，防火墙技术应用愈来愈受到重视。它不失为一种在内 部网和外部网之间实施的信息安全防范系统，这种计算机网络互联环境下的访问控制技 术，通过监测、限制、更改跨越防火墙的数据流，可以有效地对外屏蔽被保护网络的信 息，从而对系统结构及其良性运行等实现安全防护。

以上讲述了我第一次亲手接触Cisco Firewall PIX 525的情况和对其最基本的了解，总结了最基本配置的十大点，作者对Cisco Firewall PIX防火墙的了解还是很肤浅，难免有错误和不到之处，请读者多多指教。

检查接口配置：选择Interface Configuration,点击“Radius Cisco VPN 3000”，如需通过ACS设置用户组的VPN3000专有属性，请选中各项Group [26] Vendor-Specific属性，然后可以在组属性中进行设置。如需设置特定用户的VPN3000专有属性，您还需在Interface Configuration / Advanced Options中先选定“Per-User TACACS+/RADIUS Attributes”。一般而言，通过VPN3030中的组属性页面管理这些属性更为方便，推荐使用。某些属性，如为用户制定特定的IP地址，并不属于VPN3000的专有属性，因而也无需启用Vendor-Spec。

采用分布式结构建造大规模的Internet应用，可以容纳大量的用户，然而在用户量增大到一定的情况下，负载分担服务器处于整个网络中心的位置，有可能反而成为服务系统的瓶颈。天网防火墙负载分担模块在设计时采用的专用散列算法，保证系统即使在处理巨大的用户量（每秒同时连接数大于30000用户）下，网络效率仍然可以达到80%以上。

　　领信CyberWall-204防火墙基于安氏独有的P2DR安全模型理论，突破了防火墙静态防御技术，组成了以企业安全策略为核心，以防护、检测、响应为动态防护圈的主动安全体系。测试表明，这款产品的吞吐、延迟的测试结果都非常理想，是一款性能优异的产品，而且这款产品功能完善，具有较高安全性。

在E3端口上配置VIP，可将一个外网IP和端口号对应到一个内网IP。通过这种方法可以将WEB服务器，邮件服务器或其他服务放到内网，而从外网只看到一个公网IP，增加安全性。

HTTP：正如在前面例子中所说的那样，HTTP可以通过包过滤直接提供，或者通过代理服务器间接地提供。然而，最有意义的还是通过带有缓冲的代理服务器，比如CERNHTTP服务器来间接地提供HTTP服务。这样做的理由是：由于缓冲的作用，性能也就提高了。

FireWall-1允许记帐处理。一旦定义了记帐功能后，FireWall-1在通常的记录字段信息外，还记录用户连接的持续时间，传送的字节数、包数量，系统管理员可以用命令生成记帐报表，也可以通过FireWall-1的另外模块实现其数据库式的全网络内部的用户管理。