国内外主流防火墙分析
典型防火墙产品及其发展趋势(ppt 55页)
• (3)断开/接通网络
• 如果按下断开/接通网络按钮,那么主机就将完全与网络 断开了,就好象拔下了网线一样。
• (4)程序规则设置
• 天网防火墙具有对应用程序数据包进行底层分析拦截功能, 可以控制应用程序发送和接收数据包的类型、通讯端口, 并且决定拦截还是通过。在天网个人版防火墙打开的情况 下,启动的任何应用程序只要有通讯数据包发送和接收存 在,都会先被天网个人版防火墙先截获分析,并弹出窗口, 如下图:
• 输入规则的"名称"和"说明",以便于查找和阅读。
• 选择该规则是对进入的数据包还是输出的数据包 有效。对方的ip地址,用于确定选择数据包从那 里来或是去哪里。任何地址是指可以接收从任何 地方发来的数据包;局域网网络地址是指数据包 来自和发向局域网;指定地址是用户输入的地址, 指定的网络区域是你可以自己输入一个网络和掩 码。还要录入该规则所对应的协议,在这里请注 意,如果录入了IP协议的规则,一点要保证IP协 议规则的最后一条的内容是:“ 对方地址:任何 地址; 动作:继续下一规则 ”。
图5.29天网防火墙信息拦截界面
• 如果你不选中以后都允许,那么天网防火墙在以后会继续 截获该应用程序的数据包,并且弹出警告窗口。如果你如 果选中以后都允许选项,该程序将自加入到应用程序列表 中,天网版防火墙将默认不会再拦截该程序发送和接受的 数据包,但你可以通过应用程序设置来设置更为复杂的数 据包过滤方式。应用程序规则的设置界面如下图所示:
• 另外,天网网站可以为天网防火墙注册用户提供在线的系 统检测服务。如下图。具体包括的项目和功能如下。
• 信息泄露检测:检测系统是否存在信息泄漏的危险性。如 果你的电脑系统存在安全漏洞,检测系统会显示出你的计 算机名,甚至会检测出你的共享文件目录和打印机的名称, 并把共享目录里的具体内容列出来。
2023年网络安全防火墙行业分析报告
2023年网络安全防火墙行业分析报告2023年网络安全防火墙行业分析报告随着网络技术的发展,网络安全已经成为企业和个人的必备条件。
网络安全防火墙作为一种重要的网络安全设备,也在不断发展壮大。
本文将对2023年网络安全防火墙行业进行分析。
一、市场需求随着数字化进程的推进,企业信息化程度不断提高,对网络安全的需求也越来越迫切。
众所周知,网络安全是基础设施之一,可以说没有网络安全就没有信息化。
据统计,预计到2023年,全球网络安全市场规模将超过2000亿美元,其中网络安全防火墙市场规模将达到1000多亿美元。
二、市场竞争随着市场需求的增加,网络安全防火墙生产厂商数量也不断增加,市场竞争异常激烈。
目前市场上主要由华为、Cisco、Juniper、Fortinet、Palo Alto、Check Point等大型企业占据了绝大部分市场份额。
其中华为在国内市场占据了领先地位,Cisco在全球市场表现突出,Juniper和Fortinet在数据中心市场表现优异。
三、市场趋势1.云安全防火墙逐渐兴起。
随着云计算、大数据等技术的逐渐渗透到各行各业,云安全防火墙逐渐成为主流。
未来行业将朝着云安全防火墙与传统防火墙的混合模式发展。
2.安全威胁越来越多样化。
未来安全威胁将更多地呈现出攻击者“智能化、个性化、定制化”的特点,旧有的安全体系已经难以应对这些威胁,因此,新一代的防火墙需要通过大数据分析、机器学习等手段,实现自适应防护。
3.重视网络安全管理。
未来网络安全管理将成为安全防护的一个重要方向,企业将会更加注重安全管理,通过网络安全咨询、应急响应等方式,提高整体安全水平。
四、技术趋势1.增加5G网络支持。
5G网络的普及将加快网络安全的发展,使得边缘计算和云计算服务能够被更加广泛地部署和使用。
未来防火墙将会探索更多的5G应用场景和技术特征。
2.基于AI的安全防护。
未来防火墙将借助人工智能、机器学习等方法对数据流量进行智能识别和预判,从而为企业提供更为精准的安全防护。
12款防火墙比较评测报告
12款防火墙比较评测报告《网络世界》评测实验室作为企业用户首选的网络安全产品,防火墙一直是用户和厂商关注的焦点。
为了能够为用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据,《网络世界》评测实验室对目前市场上主流的防火墙产品进行了一次比较评测。
《网络世界》评测实验室依然本着科学、客观公正的原则,不向厂商收取费用,向所有希望参加评测的厂商开放。
我们此次评测征集的产品包括百兆和千兆防火墙两个系列。
此次送测产品有来自国内外12家厂商的14款产品,其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWall -100Pro、方正数码的方正方御FGFW,联想网御2000,NetScreen-208、清华得实NetST2104 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiWall 防火墙以及卫士通龙马的龙马卫士防火墙,千兆防火墙包括北大青鸟JB-FW1、NetScreen-5200、Servgate SG2000H和阿姆瑞特的F600+。
三星SecuiWall防火墙和北大青鸟JB-FW1防火墙性能测试尚未全部完成就自行退出本次比较测试。
在我们评测工程师的共同努力下,顺利完成了对其他12款产品的评测任务。
测试内容主要涵盖性能、防攻击能力以及功能三个方面,这其中包括按照RFC2504、RFC2647以及我国标准进行的定量测试和定性测试。
我们性能测试和防攻击能力主要采用Spirent公司的SmartBits 6000B测试仪作为主要测试设备,利用SmartFlow和WebSuite Firewall测试软件进行测试。
在测防攻击能力时,为准确判定被攻击方收到的包是否是攻击包,我们还使用NAI公司的Sniffer Pro 软件进行了抓包分析。
在功能测试方面,我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管理性、VPN、加密认证以及日志审计等多方面功能。
国内外主要防火墙厂商产品剖析
TG-5664 TG-5564 TG-5464 TG-5166 TG-5144
98万 78万 58万 22万 20万
8G 7G 6G 4G 4G
220万 220万 220万 220万 180万
10万 10万 10万 3万 3万
千兆中端 百兆高端 百兆中低 端
TG-460A TG-460B
18万 16万
防火墙主要厂商产品分析
安全产品
天融信
防火墙系统 VPN系统 网络密码机--VPN网关产品 综合安全网关系统--上网行为管理、安全网关系列 过滤网关系统--防病毒产品 安全审计系统--数据库审计、日志审计、网络审计 入侵检测系统 入侵防御系统 安全管理系统--安全运营管理、策略管理、终端安全管理 隔离与信息交换系统--网闸 安全操作系统--开放性的系统架构及模块化设计 应用流量管理系统--应用流量分析与控制 应用交付产品--负载均衡、广域网优化、带宽控制
168万
120万 72万 45万
16000M
16000M 12000M 8000M
600万
300万 260万 240万
12万
6万 5万 5万
14+12千电、12+12 千光、2万光 14千电、12千光 8千电、4千光 8千电、4千光 8千电、4千电
千兆中端
百兆高端 百兆中低 端
USG-3600C USG-2000C
功能
端口
万兆 千兆高 端 千兆中 端 百兆高 端 百兆中 低端
U200-CA N 1000M 150万 2万 基本防火墙功能、 VPN、IPS、标准 网管、防病毒流量 管理等 基本防火墙功能、 VPN、IPS、标准 网管、防病毒流量 管理等 6GE
2024年防火墙市场分析现状
2024年防火墙市场分析现状引言随着互联网的快速发展和普及,网络安全问题日益突出。
防火墙作为一种重要的网络安全设备,起到了保护企业内部网络安全的重要作用。
本文将对当前防火墙市场的现状进行分析,并探讨其发展趋势。
市场规模按照类型划分,防火墙市场可以分为硬件防火墙和软件防火墙两大类。
从市场规模来看,防火墙市场呈现出快速增长的趋势。
根据统计数据显示,2019年全球防火墙市场规模达到了XX亿美元,预计到2025年将达到XX亿美元。
市场竞争防火墙市场竞争激烈,主要的竞争对手有思科、诺顿、希捷等知名企业。
这些企业在技术研发和市场推广方面具有显著优势,占据了市场的一定份额。
此外,还有一些新兴企业通过创新技术和差异化的产品进行市场开拓,也取得了一定的市场份额。
市场需求随着网络攻击日益复杂和频繁,对防火墙的需求也日益增长。
企业对防火墙的要求越来越高,希望能够通过防火墙来保护其网络安全。
另外,随着移动互联网的普及,移动设备也需要防火墙来保护其网络连接的安全性。
技术趋势在防火墙技术方面,虚拟化、云计算和人工智能等新兴技术的快速发展将对防火墙市场产生重要影响。
虚拟化技术使得防火墙可以被部署在虚拟环境中,提供更灵活的网络安全解决方案。
云计算将防火墙服务外包到云端,为企业提供更便捷的网络安全保护。
人工智能技术则可以通过分析大数据和学习用户行为,实现更智能化的网络安全防护。
市场前景防火墙市场有着广阔的发展前景。
随着互联网的不断扩大和企业对网络安全的重视程度提高,防火墙市场将继续保持增长态势。
同时,新技术的不断应用将为防火墙市场带来更多的发展机会。
预计未来几年,防火墙市场的年均增长率将超过XX%。
结论综上所述,防火墙市场目前正处于快速增长的阶段。
市场竞争激烈,需求不断增加。
通过不断推陈出新和技术创新,防火墙企业可以在市场中占据一席之地。
未来几年,防火墙市场将面临更多机遇和挑战,只有不断适应市场变化和满足用户需求,企业才能在市场竞争中立于不败之地。
防火墙品牌行业排名
防火墙品牌排行榜防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
无论是对企业还是对个人,防火墙都是不可缺少的东西。
那么,什么样的防火墙才是性能好的防火墙呢?让我们来关注一下防火墙品牌排行榜:1.思科CISCO防火墙(网络系统解决方案领导品牌,总部美国加利福尼亚州)思科系统公司(Cisco Systems, Inc.),是互联网解决方案的领先提供者,其设备和软件产品主要用于连接计算机网络系统。
1984年12月,思科系统公司在美国成立,创始人是斯坦福大学的一对教师夫妇,计算机系的计算机中心主任莱昂纳德·波萨克(Leonard Bosack)和商学院的计算机中心主任桑蒂·勒纳(Sandy Lerner),夫妇二人设计了叫做“多协议路由器”的联网设备,用于斯坦福校园网络(SUNet),将校园内不兼容的计算机局域网整合在一起,形成一个统一的网络。
这个联网设备被认为是联网时代真正到来的标志。
约翰·钱伯斯于1991年加入思科,1996年,钱伯斯执掌思科帅印,是钱伯斯把思科变成了一代王朝。
2.Juniper防火墙(作为全球领先的联网和安全性解决方案供应商)Juniper网络公司(中文名:瞻博网络)致力于实现网络商务模式的转型。
作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。
公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。
Juniper网络公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络。
3.东软Neusoft 防火墙(中国第一家上市的软件企业,医疗系统软研发领导品牌)东软是一家以软件技术为核心,提供解决方案、数字化产品和服务的公司,在软件与行业应用的结合、软件与数字化产品的结合、软件人才的培养和咨询服务方面形成了东软独特的经营模式。
防火墙软件有哪些
防火墙软件有哪些为了保证用户的网络安全和满足技术变革带来的新需求,防火墙技术在最近几年有了很大的进步,防火墙的结构优化、防火墙的信息过滤、防火墙的系统管理配置等都有了提升。
目前,使用的防火墙系统有硬件防火墙和软件防火墙两种。
硬件防火墙是一台简化过后,专门用于网络安全防护的PC,通常采用的是Linux、Unix等操作系统,它的防护性高,可以防止内部网络不受到攻击,将外网有效的隔离。
硬件防火墙需要在专门的设备上运行,并且需要专门软件的支持,运行成本较高,只能保护物理网络设备,这些不足限制了硬件防火墙的使用。
因此,软件防火墙在日常的应用更为广泛。
软件防火墙不需要专门的配套硬件,直接安装在电脑上就可以使用,花费成本低,并且可以在不同的系统平台运行,更加方便、安全、可靠。
下面店铺来介绍几款常用的防火墙软件。
一、Norman Personal Firewall这款世界排名前三的防火墙软件,不仅防御能力十分出色,而且软件小,占用内存空间少,能够有效的阻止“Leaktest”、“Firehole”等外部攻击,界面简洁经典的左右布局,功能分布逻辑感强,各种实时统计信息实时查看,就算是计算机小白也可以轻松使用。
二、Zone Aarm Firewall这款美国软件公司推出的防火墙软件,一直居于国外防火墙软件下载的第一名,它只有2M多,但是功能却十分强大,秒杀一众国内外防火墙软件。
它可以阻断黑客的各种侵入方式,未经过你授权的内部网络通信将被拦截,实时监控和处理那些钓鱼链接、病毒邮件等,防止个人银行卡密码等信息的外流。
ZoneAarm Firewall因为功能使用较为复杂,所以它提供了简洁和专家两种模式。
三、瑞星个人防火墙以小狮子作为标识的瑞星个人防火墙,是国内用户普遍使用的防火墙软件之一。
它具有IP过滤、应用程序监控、站点攻击防御等全方面的功能,提供了工作模式、游戏娱乐模式和不安全级别的防护管理。
四、卡巴斯基防火墙卡巴斯基的防火墙是基于卡巴斯基杀毒软件的一个功能,它主要提供了木马查杀、应用程序过滤、网络信息的过滤等主动防御机制。
排名世界前十的防火墙排行榜具体是哪些
排名世界前十的防火墙排行榜具体是哪些十大防火墙,是现在计算机网络世界中最为著名的十款全球性防火墙软件,它们均功能强大完善,是计算机装机必备的系统安全软件。
所以小编就为大家分别介绍下他们的来历,让大家长知识!世界前十防火墙排行榜第一名: ZoneAlarm ProZoneAlarm来保护你的电脑,防止Trojan(特洛伊木马)程序,Trojan也是一种极为可怕的程序。
ZoneAlarm可以帮你执行这项重大任务喔。
基本版还是免费的。
使用很简单,你只要在安装时填入你的资料,如有最新的ZoneAlarm,免费网上更新。
安装完后重新开机,ZoneAlarm就会自动启动,帮你执行任务。
当有程序想要存取Internet时,如网络浏览器可能会出现连不上网络,这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键,选取Programs的选项,勾选你要让哪些软件上网,哪些不可以上网,利用此种方法来防治一些来路不明的软件偷偷上网。
最好的方法是锁住(Lock)网络不让任何程序通过,只有你核准的软件才可以通行无阻。
你还可利用它来看看你开机后已经使用多少网络资源,也可以设定锁定网络的时间。
这么好用的软件你一定要亲自使用才能感觉到它的威力。
英文原版: ZoneAlarm Pro V6.5.722.000第二名: Outpost Firewall ProAgnitum Outpost Firewall 是一款短小精悍的网络防火墙软件,它的功能是同类PC软件中最强的,甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。
它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它Internet 危险的威胁。
该软件不需配置就可使用,这对于许多新手来说,变得很简单。
尤为值得一提的是,这是市场上第一个支持插件的防火墙,这样它的功能可以很容易地进行扩展。
该软件资源占用也很小。
Outpost的其它强大功能毋庸多说,你亲自试一试就知道了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网盾防火墙与国内外主流防火墙分析报告一.防火墙产品类型发展趋势在防火墙十多年的发展中,防火墙厂家对防火墙的分类一直在变化,各个厂家对自己的防火墙产品有不同的标榜。
但在我看来,防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。
下面是五种典型的现行的防火墙种类。
(一.)包过滤防火墙传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。
包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。
(二.)应用代理防火墙应用级防火墙主要工作于应用层。
它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。
但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。
所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代理过渡以方便用户的使用。
(三.)混合型防火墙(Hybrid)由于希望防火墙在功能和处理上能进行融合,保证完善的应用。
许多厂家提出了混合型防火墙的概念。
他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。
而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。
(四.)全状态检测防火墙(Full State Inspection)这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。
Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。
Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。
据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。
(五.)自适应代理防火墙这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。
在自适应防火墙中,在每个连接通信的开始仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理。
自适应代理模块是依靠动态包过滤模块来得知通信连接的情况,当一个连接到来时,动态包过滤将通知代理并提供源和目的的信息,然后自适应代理根据管理员关于“安全与性能“选择的配置来灵活的为每一个连接指定相应的策略。
在自适应代理中,动态包过滤允许代理要求新连接的通知,接着代理就可以检查每个具体的连接信息,告诉动态包过滤接下去应该对该包作如何处理,如丢弃,转发还是将包提到应用层检查。
动态包过滤对每个连接所采用的过滤规则都是由代理自动调整的。
虽然Network Associate的这套自适应代理技术具有一定的先进性,但据说并未完全被该公司所实现,因此该公司的技术文档中很难有关于自适应代理的详细的资料。
二.国外防火墙实现技术分析由于国外的网络安全要比我们国内发展得早,而且国外的软硬件技术水平也要比国内高出一节,因此国外的防火墙产品自然比国内的产品要更加成熟和先进。
所以我这里将国外防火墙中所运用的先进技术提出来加以分析。
这些技术主要分成以下三大类。
(一.)性能实现随着网络速度的不断提升,防火墙的性能越来越成为国外厂家关注的问题,他们一般主要从硬件,操作系统和检测方法方面作改进。
1.专用硬件使用专用的硬件以NetScreen防火墙最为典型,NetScreen防火墙之所以具有很好的性能是和采用专用硬件设计是分不开的。
在每个NetScreen设备中,都有ASIC(Application Specific Integrated Circuit)芯片,这些专用的ASIC芯片主要用来起到加速防火墙策略检查,加密,认证,以及PKI过程功能。
例如,所有的规则都存储在一个特定的存储区里,当硬件引擎每次需要检查规则时,就去扫描存储区。
因此检查一条规则或20条以上的规则并不会使性能有什么重大的不同。
另一方面,为了使硬件和软件处理达到最佳配合,NetScreen使用了高速的多总线体系结构,该体系结构中每个ASIC芯片都配有一个RSIC处理器,SDRAM和以太网接口。
因此NetScreen特有的硬件体系结构的设计可以比使用公共的PC硬件的防火墙产品达到更高的性能价格比。
2.专用实时嵌入式操作系统NetScreen使用了专门的ASIC硬件设计之后,在操作系统也采用了专用的嵌入式操作系统——ScreenOS。
在NetScreen防火墙中每个RISC处理器都运行ScreenOS。
ScreenOS是一个强安全,低维护费用,专门为ASIC线路设计的实时嵌入式操作系统。
ScreeOS的任务主要有三。
首先,ScreenOS支持从WebUI(Web界面)和CLI(用户界面)获取配置,管理和监控任务。
其次,ScreenOS和高性能的TCP/IP引擎集成并与ASIC芯片紧密合作完成包的检测和转发的功能。
最后,由于ScreenOS不象其他公用的操作系统平台受到连接表和处理数目的限制,因此一般地ScreenOS每秒所能支持的TCP并发连接数可达到19,600个。
下面解释一下NetScreen专用ASIC硬件和专用ScreenOS操作系统如何配合做到对安全策略的处理方面达到高性能。
NetScreen对包的检测主要分如下几个步骤:首先,进来的包在网络层被拦截,ScreenOS提供包的格式和框架的检查以辨认是否是畸形包。
其次,如果包是合法的,ScreenOS将检查该包是否属于存在的TCP会话。
再次,如果该包所属的TCP 会话的确存在,那么ScreenOS将检查TCP包的序列号和代码域来证明包真正属于给该对话。
如果该包不是属于一个已存在的TCP会话,那么ASIC芯片则要检测该包是否符合安全策略,如果不符合安全策略则丢包,否则建立新的连接通信。
基本原理如下图。
图.NetSceen防火墙对包的处理过程3.多CPU和大容量RAM除了使用专用的硬件和软件设计,大多数的硬件防火墙采用通用PC系统和通用的操作系统如linux,Solaris,Windows等。
这些厂家为了提高整体硬件的性能一般增加参加并行处理的CPU数目以及RAM的容量。
Cyberguard防火墙就是一个典型的例子,该防火墙使用的CPU数达到4个,而RAM的容量为1G。
4.检测算法改进前面都是从硬件和操作系统方面来提高防火墙的性能,另一个提高防火墙的方法则是从数据包的检测方法上来提高性能。
以下由几种典型的包检测的改进方法。
首先,就是前面提到的全状态检测。
checkpoint firewall-1的检测模块的工作都是在操作系统的内核完成,它可以检测所有七层通信协议,并且可以分析包的状态信息。
因此既能保证包检测的性能,又能保证包检测的全面性。
之所以Firewall-1检测模块能做到检测应用层是因为Firewall-1对IP协议包的内部结构很清楚,因此检测模块可以从包的应用内容中提取数据并将其保存下来为后面的包提供必要的状态信息。
Firewall-1检测模块的原理图如下。
Firewall-1检测模块工作原理图其次,就是自适应代理。
自从Network Associates的防火墙使用了自适应代理体系结构,由于只在防火墙检测到可疑通信量时才启用代理,因此在启用NAT后,Gaunlet防火墙的性能比NetScreen和Checkpoint甚至更好。
由于在NetWork Associates()找不到更多的关于自适应代理的资料,因此对自适应代理基本原理的描述只局限于前面提到的一部分。
再次,是MAC层状态检测。
这是NetGuard公司为其防火墙提出的这种检测方法,由于包的检测是处于MAC层,因此能很明显的提高防火墙的性能,并且使得它对操作系统安全漏洞具有免疫功能。
最后,快速代理(cut-through proxy)这是由Cisco 公司对代理性能的一种改进,但是这种改进是否保证安全还需考证。
Cisco认为一个代理服务器必须对包进行七层协议的检查是很浪费时间的,而PIX防火墙只是对每个通信连接的开始通过认证服务器进行必要的用户认证(如外部用户采用一次性口令),然后就可建立起直接的数据流,这样速度自然要快得多。
Cisco在检测安全时还使用了适应性安全算法(Adaptive Security Algorithm),该算法接近于状态检测,它将防火墙所连接的网络进行安全分级,ASA算法遵守下列规则:每个包必须经过状态检查;除了被安全策略拒绝,任何从安全区域向相对不安全区域发的包放行;除了被安全策略允许,任何从相对不安全区域向安全区域发的包拒绝;所有ICMP包除了被指定允许否则都拒绝。
从Cisco提出的ASA算法和cut-through proxy的方案可以看出Cisco 是有点想牺牲点安全来换取性能。
(二.)功能实现防火墙的功能比较多种多样,国外各个厂家一方面都提供了一些防火墙基本功能和常见功能,另一方面也多多少少有自己的一些特色功能。
由于防火墙的基本功能和常见的功能如NA T,PAT,内容过滤,负载平衡,高可靠性,透明模式等网盾防火墙已基本实现,所以这里将不再对其叙诉。
我这里只对我们未实现过的一些功能加以简单的描述。
1.多种身份认证体系和灵活的认证方法由于现今各种操作系统支持多种认证方案,因此许多防火墙厂商为用户提供了多种的认证体系以便用户使用,例如,checkpoint认证体系大概有六种:防火墙口令, RADIUS或TACACS/TACACS+服务器,数字证书,S/Key,SecurID Tokens,Axent Pathways Defender,OS口令。
为了使防火墙用户能灵活的控制认证对象,Checkpoint还提供了三种不同的认证方法:用户认证,IP地址认证,对话认证(基于每个对话对每个服务作认证)。
最后一个是许多公司提出的透明的用户ID和地址认证服务体系。
该种透明认证的实现是通过将Windows NT的域认证方案和它的防火墙合为一体。
该透明的认证服务可以自动的捕捉Windows NT系统的登录信息和本机动态分配的地址,然后这些捕捉到的信息就可以直接作为防火墙认证的信息,这样就可以做到用户透明认证。