我在网络安全方面做了三年多了,做过代理商,总代理,厂商。在三年里见过的用户没有壹千也有五百了。我发现目前用户虽然对于网络安全都有需求,但是对于如何选择网络安全产品还是有很多误区。下面我就把自己的经验写一下,与大家共享。
误区一:防火墙是国外的好。
误区二:防火墙纯硬件的比linux架构的好。
误区三:防火墙各项指标越高越好。
误区四:CPU越快越好,内存越大越好。
首先要明确,防火墙不是路由器、交换机或者服务器。(虽然看起来比较象)所以不能用那些产品的指标来选择防火墙。那么选择防火墙应该注意哪些方面呢?
一安全性:这是重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括几个方面,自身安全性、访问控制能力和抗攻击能力。
自身安全性主要是指防火墙系统的健壮性,也就是说防火墙本身应该是难以被攻入的。还有防火墙的管理方式也很重要。管理员采用什么方式管理防火墙,是telnet还是web,有没有加密和认证等等。
访问控制能力是防火墙的核心功能。访问控制能力包括控制细度,也就是能控制哪些内容,比如地址、协议、端口、时间、用户、命令、附件等等。还要注意的就是控制强度,也就是说应该限制的内容必须全部阻断,应该通过的内容不应该有任何阻断。
抗攻击能力是指防火墙对各种攻击的抵抗能力。包括抵御攻击的种类,数量。特别是对DOS和DDOS攻击的抵抗力。目前对于DDOS攻击还没有什么完善的解决办法。因此对DDOS攻击主要看能抵御的强度有多大。
用户在选择防火墙的时候,自己来判断以上这些性能是很困难的。因为用户没有专门的 测试工具和手段。用户可以根据一些第三方的认证和评测来辅助判断。比如能否拥有安 全性较严格的军队认证、还有就是中国信息安全产品测评认证中心的等级证书。现在用 的标准是国标GB/T18336,等级越高越好,一共7级。(不过现在最好的好像也就是EAL3 )
二网络性能。
防火墙是个网络设备。在保证安全的基础上,应该最大程度减少对网络性 能的影响。对于网络性能,主要就是看最大带宽、并发连接数、每秒新增连接数、丢包 和延迟。这些指标和交换机、路由器都是相同的,这里就不多说了。但是有一点要注意 。防火墙在策略起作用和全通策略的状态下,上述指标都是不一样的。用户一定要考虑 实际环境。比如先按照用户的要求添加多少条策略(全通策略在最后)然后再测试。传 说中有的百兆防火墙小包(64字节)通过率能达到70%以上,甚至90%,我觉得在实际使 用中一定不可能。之所以能够测试出这样的数据只有两个可能:一是采用高性能硬件, 比如采用了千兆网卡芯片,二是在测试机的内核做手脚。
三是网络功能。
这里包括的内容就多了,什么地址转换、IP/MAC绑定、静态和动态路由 、源地址路由、代理、透明代理、ADSL拨号、DHCP支持、双机热备、负载均衡等等。
在这些眼花缭乱的功能里,用户应该有一双明亮的眼睛。因为并不是每一个功能用户都需要的,用户也不需要为了一些不需要的功能花冤枉钱。当然,价钱相等的情况下功能越多越好啊,呵呵。用户应该首先明确自己都需要什么功能,并且要确定这些功能都要达到什么效果。然后再寻找相应的设备。有些功能在不同厂家的定义是不同的。实现的效果也不一样。如果大家想对具体某一部分功能详细了解,可以跟贴,我再重新开新贴讨论。
四是管理功能。这里面的内容也不少。用户不要小看了这里的东西。防火墙这种设备不像交换机,安装好了50年不管。防火墙需要经常管理。日常的管理就是看日志,修订策略,添加和删除用户。更高的管理还包括第三方互动,VPN建立,远程集中管理等等。管理方面用户应该注意界面的友好性,设置选项应该通俗易懂。日志特别重要,好的日志系统应该有详细的记录,包括连接的状态和内容,应该便于分类和排序,应该方便存入数据库并有syslog等标准的接口。远程管理对用户来说要注意管理命令的加密和认证,是否支持策略远程导入导出等等。至于管理的界面是否好看,那就看个人喜好了。
五是质量。防火墙的质量表现可不是做工精细不精细啊,而是防火墙是否能经久耐用。现在比较先进的防火墙普遍采用的是贴板技术。也就是将所有的原件都采用贴片的工艺。这样整个防火墙都是一体的,自然不容易出故障。如果防火墙的内存,网口还采用插槽的方式,甚至还采用普通硬盘作为系统内核存储设备,那系统的稳定性就可想而知了。另外在高稳定性要求的环境里要看有没有双电源,大功率风扇等等。虽然看上去是细节,但是我可是知道很多防火墙室内温度一高就死机的。:)
上面说的内容都是对防火墙产品本身的一些介绍。我想大家应该对怎样选择防火墙有个原理性的认识了。那么下面就针对一些实际情况来讲一讲。先把我在一开始提的几个误区做个Q&A吧。
误区一:防火墙是国外的好。
解释:在网络安全领域,甚至是计算机领域,我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然,我们的整体实力还是有限的。但是,对于防火墙这种比较成熟的技术来说,我们完全可以做的和国外的一样好。国外品牌,大家熟知的checkpoint,为什么现在的市场份额越来越少?主要是自己不思进取。别人早都用硬件防火墙了,他还死抱着纯软件不放。现在和nokia合作推出硬件产品,是没办法的事。这种合作我也很不看好。毕竟对nokia来说这是小生意,不会重视的。在国内进行的多次评测中,国内的产品在性能指标上和国外的产品各有千秋。当然,国外的产品占了几个最,比如最快的产品是netscreen,支持协议最多的是checkpoint,入侵检测结合的最好的是fortinet。但是不要忘记,这些防火墙往往都是一个方面突出,然而其他方面就很一般了。国内的防火墙优势在于,功能比较全面,很容易用,服务本地化。片面强调一个功能对防火墙来说是不够的。用户应该结合自己的实际来选择防火墙。我认为国内的防火墙在性价比上是很好的。
也有人担心国内防火墙安全性不够。国家在这些方面都有专门的认证和评测机构。我想不是白吃饭的。(当然,有的评测确实只拿钱不测试)而国外的就一定安全么?我想更应该在心里划个问号。
误区二:防火墙纯硬件的比linux架构的好。
解释:硬件还是软件,这个只是跟实现原理有关。要实现防火墙的功能还是靠软件。ASIC的防火墙是把防火墙代码做在芯片里,运行的效率当然高。但是别的呢?防火墙可不是只做包检测的设备。还有很多别的功能。要想全部集成在芯片里,难度很大。特别是如果新出现了一个功能,要添加到原有的ASIC芯片里,往往很难。有人说ASIC芯片速度快。这个问题分两个角度来考虑。第一,韩国也有ASIC芯片的防火墙。而且国内也有OEM的(是哪一家我不说了),但是都是低端产品,并发连接只有几千而已。所以不是ASIC就一定好,要看研发的水平了。第二你需要这么快的速度么?速度是重要的,但不是唯一的。现在netscreen能做到几十个G,但是有个几个用户有这么大的带宽?除了电信,没几个用得着。而linux架构的防火墙在软件上可以很容易的添加功能,甚至可以应用户的要求订制开发。
误区三:防火墙各项指标越高越好。
其实还是那句话:按需选择。可能用户有的是钱,那当然另说了。但是在用户资金有限的情况下,还是应该仔细衡量一下,哪些指标对用户来说更有用。当然,选择产品时一定要有前瞻性,产品最好能适应今后两年网络的扩展。我曾经见过用户的选型方法是这样的:因为我们的专线是电信用光纤拉过来的,所以我们要用千兆防火墙和交换机。其实这根光纤只有8M。我想,电信发展的再快,专线速度达到100M以上恐怕也是5、6年以后的事情了(租金多少还难说),因此现在就选择千兆设备还不如选个好的光电转换模块。有的用户片面追求最大并发连接数,认为并发连接越大越好。其实这也是国内一些厂商的误导。最大并发连接够用就可以了。现在的国内厂家在这个指标上玩花样,你可以对比这两年同型号产品的公开指标,会发现有些产品的并发连接突然成倍增长。当然,也可能是产品升级了,但是很多情况是厂家为了打标,故意修改的数字。反正大部分用户都没条件测试最大并发,我写个几百万你怎么知道?其实对于百兆防火墙来说,有100万的并发应该足够了,富富有余。其他的指标也一样,按需选择才是根本。
误区四:CPU越快越好,内存越大越好。
这个问题其实就像我前面说的,防火墙不是服务器,因为各家防火墙实现原理不同,所以靠CPU和内存来衡量是不对的。具体要看哪些指标,我前面都写了,这里就不重复了。后面再加个总结吧。
我写道这里,有些写不下去了,不知道该如何结尾,也不知道大家还想讨论些什么。我正在画一个图,希望今天能贴上来。大家还有什么建议和意见?请跟贴。谢谢
authen 回复于:2004-09-07 11:46:55
引用:原帖由 "天下第二"]安全性:这是重中之重。安全性不高的防火墙,其他性能再好也是空谈。安全性包括几个方面,自身安全性、访问控制能力和抗攻击能力。
发表:
严重赞同 :em02:
zhangzzs 回复于:2004-09-07 13:21:29
同意楼主说的.
雨oringe 回复于:2004-09-07 14:30:16
楼主兄弟,国内的那家防火墙性价比较高. 说说看,有什么依据.
cjyhappy 回复于:2004-09-08 09:08:24
ding
ding
ding
ding
司 回复于:2004-09-08 09:48:28
能写出自己的经验是好事,大家快来学习啊~ 吼吼吼! :m01: :m01: :m01:
遇到不懂的问题赶快和他交流^_^
lurchin 回复于:2004-09-08 10:15:11
同意
现在厂商炒作的一些卖点,可能对用户没有什么用处
longdas 回复于:2004-09-08 14:10:17
不完全赞同.
JohnBull 回复于:2004-09-08 14:13:40
AGREE!!
jyhuang 回复于:2004-09-08 14:25:49
还有没??
onebuyone 回复于:2004-09-08 14:56:58
楼主说的不错,但不完全赞同,国内防火墙在功能和性能上的确有了不少进步,但是无论从防火墙的工艺水平或者防火墙的稳定性方面还是不能与国外的产品抗衡。我打开看过几个国内厂家的防火墙产品,一句话,惨不忍睹!就像楼主说的硬件的不一定比软件的好一样,我觉得Check Point防火墙其实做的很不错。
hcjia 回复于:2004-09-08 15:36:18
搂主能说说国内哪家厂商的防火墙综合性能超过NETSCREEN、ISS、CHECK POINT??答案是没有,所以说现阶段,高端防火墙还是国外的防火墙,当然国外的防火墙也有垃圾的!!!!
棋童 回复于:2004-09-08 16:37:03
下回何时分解?
ywsun 回复于:2004-09-08 16:55:22
引用:原帖由 "司" 发表:
能写出自己的经验是好事,大家快来学习啊~ 吼吼吼! :m01: :m01: :m01:
遇到不懂的问题赶快和他交流^_^
同意!
司 回复于:2004-09-08 17:23:49
果然很有见地。
不过诈听起来真有点欺骗客户的感觉。不愧是合格的售前人员。话说的圆滑,嘿嘿
第三第四条呢?快点写啦。听听你有什么样的看法。 :em02:
config t 回复于:2004-09-08 20:36:00
引用:原帖由 "hcjia"]搂主能说说国内哪家厂商的防火墙综合性能超过NETSCREEN、ISS、CHECK POINT??答案是没有,所以说现阶段,高端防火墙还是国外的防火墙,当然国外的防火墙也有垃圾的!!!!
发表:
应该是topsec 4000以上的系列
好像传说中是oem高丽棒子的东东
呵呵
无倦 回复于:2004-09-08 20:38:49
除了价格以处,人家国外的防火墙还不至于有那么多有缺点.
天下第二 回复于:2004-09-09 08:46:52
引用:原帖由 "longdas"]不完全赞同.
发表:
哪里不赞同阿?说出来大家探讨一下阿
天下第二 回复于:2004-09-09 08:48:16
引用:原帖由 "无倦"]除了价格以处,人家国外的防火墙还不至于有那么多有缺点.
发表:
呵呵,我的意思是国内防火墙不向很多人想象的有那么多缺点,而不是说国外的全都不好啊?
freekiss 回复于:2004-09-09 09:08:20
国内的总体水平应该是比国外差一截的,可能个别优秀的厂家产品还可以。防火墙我不了解,但在数据通信网络产品上至少如此。
天下第二 回复于:2004-09-09 09:12:52
引用:原帖由 "freekiss"]国内的总体水平应该是比国外差一截的,可能个别优秀的厂家产品还可以。防火墙我不了解,但在数据通信网络产品上至少如此。
发表:
我特别欣赏华为:em02: :em02:
Fun-FreeBSD 回复于:2004-09-09 18:33:36
多说点实际的就好了,比如nokia是把checkpoint装在什么系统里,有什么硬件设备,作了什么特殊设置
各种产品的特征,各有什么优点缺点
crane1224 回复于:2004-09-10 01:38:50
好楼好贴
天下第二 回复于:2004-09-10 08:49:48
引用:原帖由 "Fun-FreeBSD" 发表:
多说点实际的就好了,比如nokia是把checkpoint装在什么系统里,有什么硬件设备,作了什么特殊设置
各种产品的特征,各有什么优点缺点
同意!谁了解?说说
dainh 回复于:2004-09-10 09:15:31
我是做售前的
我个人认为
大部分情况下我们推哪种产品
都是由利润决定的
老板毕竟是要赚钱的
cup_coffee 回复于:2004-09-10 14:34:32
用户使用防火墙需要按照自己得需求来决定。只是现在大多数得用户对防火墙都缺乏了解(不象电脑配件,大家都熟,介绍得资料也多),所以早就用户在选择防火墙得时候,只能看广告,听售前人员得介绍。自然使选择越贵越好,或者越大越好。或者一味追求价格便宜,选择非常低档得防火墙。不能有太多得选择余地。
红袖恬香 回复于:2004-09-11 13:20:45
虽然华为产品进入防火墙这个比较晚,但是凭借其网络设备和os的研发能力,很短期就已经进入高端领域了
E100--PowerPC(733Mhz)构架
E1000--NP构架
防火墙性能指标和安全能力都不是国内的一般FW开发商可比的
尤其dos的防护,比如高强度的synflood防护,都是专利算法
高度模块化的模式更适合从小型企业到isp
比如备份电源模块,多100兆FE模块,风扇模块,
skylove 回复于:2004-09-12 10:41:28
说到huawei就是气!!! 前几天有台6503新机刚上架,结果风扇就挂掉了!!!
天下第二 回复于:2004-09-13 09:17:18
上周写到这里,突然没有动力写下去了,请大家给指路,下面该写点什么好呢?
huzhongliang790 回复于:2004-09-13 09:27:00
国产的价格上不是很透明,利润比较多谢而已。
netscreen之类的利润已经很少了!
gazali 回复于:2004-09-13 10:45:21
防火墙国内的有几家做的还是不错的,但是真的要和国外产品有竞争力,还是有一段距离的。现在国内防火墙销售很大程度上得益于国家安全政策。我摸过的防火墙也不下100台了,总的来说还是NS地位最高,产品质量也没得说。至于huawei的FW,以前好像听说huawei玩了国内好多FW厂商一把。
paulwang 回复于:2004-09-13 16:58:14
小弟有一问:哪里几款防火墙可以直接支持多ISP外网接入的?
关键词:多isp 策略路由 多链路 链路冗余 动态负载均衡 BGP 多WAN
天下第二 回复于:2004-09-13 17:38:06
天融信可以。别的谁能全部支持?赶快来说说阿。
config t 回复于:2004-09-13 19:43:24
引用:原帖由 "paulwang" 发表:
小弟有一问:哪里几款防火墙可以直接支持多ISP外网接入的?
关键词:多isp 策略路由 多链路 链路冗余 动态负载均衡 BGP 多WAN
多isp----这个问题有些幼稚
动态负载均衡----你说法需要改一下,不如说成流量负载共享
BGP多Wan---你是说用来只作广播,再走静态路由,还使用bgp学习as里的路由信息(除非防火墙厂商有病,明明做防火墙搞成高端路由器,pfpf)
另外几个大部分厂商都支持
config t 回复于:2004-09-13 19:45:16
引用:原帖由 "天下第二"]天融信可以。别的谁能全部支持?赶快来说说阿。
发表:
topsec都支持!强啊
看来alteon,F5networks,radware,Juniper,cisco都不用混了
一个防火墙的厂商望了给自己产品定位,呵呵,极度没有核心竞争力
凤凰涅磐浴火重 回复于:2004-09-14 01:54:31
学习中!
天下第二 回复于:2004-09-14 08:53:58
引用:原帖由 "config t" 发表:
topsec都支持!强啊
看来alteon,F5networks,radware,Juniper,cisco都不用混了
一个防火墙的厂商望了给自己产品定位,呵呵,极度没有核心竞争力
这不都是中国的用户逼的?
忘了说明,支持是支持,但是效率和路由器比起来肯定是远远不如。你的言语是不是太激烈了?极度没有核心竞争力的产品却能成为中国的No1,为什么呢?大家应该思考一下。
paulwang 回复于:2004-09-14 09:07:14
引用:原帖由 "config t" 发表:
多isp----这个问题有些幼稚
.........
幼稚在哪里?很正常啊, 难道你们的isp接入都只依赖于一家isp?比如有电信和网通的线路可以同时用,你非要用一家,一家的线路出现了问题,你难道这是干等着它慢慢的恢复吗?小弟不才, 可能没理解你所说的幼稚的含义。
onebuyone 回复于:2004-09-14 10:11:40
天融信是市场做的不错,但不是产品技术就N0.1。多ISP的问题也不是防火墙能够处理的,至少现在没有那个防火墙可以做到链路负载均衡。感觉NS的还是好一些,特别是利用虚拟路由器,可以解决很多的问题。
zjqyb 回复于:2004-09-14 12:23:23
国内的好像都是linux+intel
不像pix,netscreen是专用芯片
gazali 回复于:2004-09-14 13:28:00
引用:原帖由 "paulwang" 发表:
小弟有一问:哪里几款防火墙可以直接支持多ISP外网接入的?
关键词:多isp 策略路由 多链路 链路冗余 动态负载均衡 BGP 多WAN
支持归支持,到底效果如何呢?防火墙如果做杂,什么东西都往里加,我也不会觉得该墙会优秀到哪里。
另:你去看看NS手册吧。
config t 回复于:2004-09-14 13:28:32
引用:原帖由 "天下第二" 发表:
这不都是中国的用户逼的?
忘了说明,支持是支持,但是效率和路由器比起来肯定是远远不如。你的言语是不是太激烈了?极度没有核心竞争力的产品却能成为中国的No1,为什么呢?大家应该思考一下。
不怀疑topsec的技术力量!
但一个安全公司也向联想所谓的走向GE,决定走向高效益的oem技术
config t 回复于:2004-09-14 13:34:27
引用:原帖由 "paulwang" 发表:
幼稚在哪里?很正常啊, 难道你们的isp接入都只依赖于一家isp?比如有电信和网通的线路可以同时用,你非要用一家,一家的线路出现了问题,你难道这是干等着它慢慢的恢复吗?小弟不才, 可能没理解你所说的幼稚的含?.........
所谓多个isp,简单说,多加根网线或者光纤,技术上实现,大部分走策略路由或者通过路由的metric实现跟nsrp走流量负载共享
如果稍熟路由器或者交换技的朋友都应该知道怎么回事
skylove 回复于:2004-09-14 20:02:16
策略路由一般在路由器上做,当然用linux/windows等做的网关也可以,在三层交换机上也能做,但是交换机效率受影响;防火墙上做这个没什么价值。。。
linuxpiao 回复于:2004-09-15 08:24:05
So good!!!
unix菜鸟 回复于:2004-09-15 09:24:40
引用:原帖由 "zjqyb" 发表:
国内的好像都是linux+intel
不像pix,netscreen是专用芯片
NetScreen是专用芯片,但pix不是Intel架构吧?
Mozela 回复于:2004-09-15 10:55:35
I don't have Chinese so I can't discuss this with U guys...SIGH.........
But I don't like Topsec.Because a few days before I used Retina Network Security Scanner to scan one Topsec FW.It appeared that it had an big vulunerability named
Oracle9i Web Cache Overflow...It is a vulunerablity that can be attacked by DoS...I
felt bad...Topsec can't resist DoS attack...
jerryxia 回复于:2004-09-15 11:33:11
用户在购买防火墙时都会考虑自身的行业,不同的用户考虑的方面不尽相同。像政府必须使用国内产品,而对于企业就要求性价比(国内产品性价比并不是很好),金融行业考虑更多的是安全性。不同的产品都有各自的卖点,用户选择最适合自己的才是最好的。
国内防火墙主要的问题在于缺乏足够的测试,在稳定性方面缺乏一定的优势!
config t 回复于:2004-09-15 19:14:32
引用:原帖由 "unix菜鸟" 发表:
NetScreen是专用芯片,但pix不是Intel架构吧?
pix是cisco帮intel清仓底!
但firewall module不知道是不是asic的?
config t 回复于:2004-09-15 19:17:16
引用:原帖由 "jerryxia"]用户在购买防火墙时都会考虑自身的行业,不同的用户考虑的方面不尽相同。像政府必须使用国内产品,而对于企业就要求性价比(国内产品性价比并不是很好),金融行业考虑更多的是安全性。不同的产品都有各自的卖点,用..........
发表:
不是吧,用户购买fw时,一般都先考虑"关系"
5i6000 回复于:2004-09-16 01:34:50
ca etrust 怎样? 我们现在用这个
xingsw 回复于:2004-09-16 09:58:04
在关注中,应该从自己的实用需求出发,选择性价比最高的,不要贪大求全,盲目超前。
金山独霸 回复于:2004-09-16 10:50:09
不错不错,很收益
solaris_yschang 回复于:2004-09-16 11:40:45
引用:原帖由 "config t" 发表:
不是吧,用户购买fw时,一般都先考虑"关系"
同意, 什么性能啊、价钱啊都是空谈。“关系”最重要!
天下第二 回复于:2004-09-16 17:19:32
引用:原帖由 "solaris_yschang" 发表:
同意, 什么性能啊、价钱啊都是空谈。“关系”最重要!
我们在这里就技术讨论,想发牢骚去清茶
config t 回复于:2004-09-16 21:00:44
引用:原帖由 "天下第二" 发表:
我们在这里就技术讨论,想发牢骚去清茶
晕,我看安全版基本上可以成为第二个清茶了
版主好多年没露面了 :shock: :shock:
天下第二 回复于:2004-09-17 08:32:52
引用:原帖由 "config t" 发表:
晕,我看安全版基本上可以成为第二个清茶了
版主好多年没露面了 :shock: :shock:
大鹰基本上是消失了。司妹妹还在阿,只不过天天看,不发言。
the7 回复于:2004-09-18 23:01:13
楼主的经验太宝贵了!感谢!要是有市面上一些防火墙的报价就好了,
不会被宰太狠!
天下第二 回复于:2004-09-20 09:02:42
引用:原帖由 "the7" 发表:
楼主的经验太宝贵了!感谢!要是有市面上一些防火墙的报价就好了,
不会被宰太狠!
呵呵,公开报价给了你也没用。实际上,真正的成交价都相差很大。就像前面几位说的,看关系了。呵呵
xjx79 回复于:2004-09-20 13:49:17
ding
jackly2008 回复于:2004-09-20 14:53:08
Wistron ITS
纬创软件股份有限公司,成立于1992年,总部设在台北,现有五个软件开发中心,四个客户服务中心,员工人数已超过500人。纬创软件主要提供专业的软件开发服务,包括亚洲语言的产品国际化与本地化开发、软件代工服务、企业解决方案及技术支持。目前已经累积1500人年,超过1000个项目经验,服务的客户包括美国财星杂志前500强的著名企业。
职位:急聘!
职位要求:
具备以下条件中任两项者:
1、 五年以上项目开发经验,至少三年项目管理或系统设计经验;
2、 具备银行金融业务知识或物流管理知识;
3、 有IBM AS/400或 IBM RS9000项目开发经验;
4、 良好的英语或日语听说读写能力;
其它要求:
5、 良好的团队协作能力;
6、 良好的学习能力和解决问题能力。
以上岗位一经录用,公司将以优秀的企业文化、良好的工作环境、具竞争力的薪酬及广阔的职业发展空间,真诚欢迎您的加盟!
应聘者请将您的中英(或日)文简历(包括个人基本信息、经历、学历、薪资要求及照片一张)以 E-mail 方式发送至hr.wh@wistronits.com或邮寄至武汉市武昌区中南路7号中商广场27楼B座,邮编:430071或传真至 027-87259062 (应征简历入公司人才库并保密,合者约见)
公司网址: http://www.wistronits.com
wj0108_cs 回复于:2004-09-20 14:55:24
最支持的是稳定、而且严重认为稳定的基础是安全的策略
天下第二 回复于:2004-09-20 16:10:58
引用:原帖由 "jackly2008" 发表:
Wistron ITS
纬创软件股份有限公司,成立于1992年,总部设在台北,现有五个软件开发中心,四个客户服务中心,员工人数已超过500人。纬创软件主要提供专业的软件开发服务,包括亚洲语言的产品国际化与本地化开发、..........
这位是不是发错地方了?
gennet 回复于:2004-09-22 11:43:09
我认为,目前防火墙技术和产品还是以国外为主导,国内厂商还没有能够独立进行软件和硬件研发的,谈何优势呢?
天下第二 回复于:2004-09-22 13:23:02
引用:原帖由 "gennet"]我认为,目前防火墙技术和产品还是以国外为主导,国内厂商还没有能够独立进行软件和硬件研发的,谈何优势呢?
发表:
我认为技术方面肯定是国外产品为主导。但是对于用户来说,在意的是产品够用和好用。技术非要是第一才行?那全世界都不会有第二了。防火墙如此,别的东西也是这个道理。不知你以为然否?
我这篇文章是就用户的角度谈防火墙,请先看清楚
我心随风 回复于:2004-09-22 15:25:16
呵呵,经典,同意,希望后面的能更精彩
我心随风 回复于:2004-09-22 15:32:00
呵呵,经典,同意,希望后面的能更精彩
config t 回复于:2004-09-22 16:15:42
引用:原帖由 "天下第二" 发表:
我认为技术方面肯定是国外产品为主导。但是对于用户来说,在意的是产品够用和好用。技术非要是第一才行?那全世界都不会有第二了。防火墙如此,别的东西也是这个道理。不知你以为然否?
我这篇文章是就用户的?.........
天下第二兄:
东软的流过滤技术,不知道有没有使用经验,还是他们在吹水
“流过滤”是东软的首创,是在“状态包过滤”基础上的发展。 “状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整合成数据流,然后再进行过滤检测。“流过滤”防火墙不仅能同时提供应用层和网络层的保护,而且保持了包过滤产品良好的透明性,其性能则远远超过应用代理结构的防火墙产品,能够同时处理几万甚至几十万并发的应用级会话。对于需要一个能够支持数万个并发访问,同时又要相当于代理技术的应用层防护能力的系统,流过滤结构可以说是唯一的选择。
chinaunix_li 回复于:2004-09-23 15:43:44
通过楼主的文章足以说明当前真正懂的防火墙技术的人很少,可悲
qiangzhe 回复于:2004-09-23 18:03:46
谁能给我个随便的防火墙 带个序列号的 谢谢
我的电脑还没防毒软件呢 晕死 下了好几个都要序列号 谁帮帮我啊!~!!
天下第二 回复于:2004-09-24 08:56:54
引用:原帖由 "config t" 发表:
天下第二兄:
东软的流过滤技术,不知道有没有使用经验,还是他们在吹水
“流过滤”是东软的首创,是在“状态包过滤”基础上的发展。 “状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整?.........
其实国内防火墙的技术虽然各有千秋,但实际上差别并不大。用户选择产品到底看什么?这些技术名词都不用看。就看相关指标阿。什么指标我前面都写过了
aiyouyou 回复于:2004-09-27 09:32:58
一直在用watchguard的产品,比较适合中小企业!
blues1205 回复于:2004-09-27 11:59:42
引用:原帖由 "config t" 发表:
天下第二兄:
东软的流过滤技术,不知道有没有使用经验,还是他们在吹水
“流过滤”是东软的首创,是在“状态包过滤”基础上的发展。 “状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整?.........
有没有听说过核检测??
maqing 回复于:2004-09-27 14:00:22
我曾做过安全集成商(销售FW,IDS,AV,CONTENT SECURITY)的工程师,现在是用户的工程师。
先说几个事儿
1.占全球防火墙以及vpn网关市场65%的市场分额。
补充:我觉得这里所说的全球市场我觉得主要是指西方。毕竟给出这个数字的市场调研机构——好像是IDG——主要的调查目标群体在西方。
2.财富500家(还是100家,模糊了)中90%公司使用checkpoint防火墙——好像是IDG给出。具体要查,但不是无中生有
3.checkpoint的opsec标准是安全产品厂商靠拢的标准。连国内的启明星辰ids都有opsec接口,iss的ids也是。就我所知,三大病毒厂商的趋势和norton都支持opsec接口,NAI的杀毒产品是否支持OPSEC标准,有心的朋友可以查查。其他还有mimesweeper和 websense这些内容安全的领先厂商。
4.防火墙的主流技术——状态检测,CP是专利持有人,也是第一个状态防火墙产品。此后其他防火墙厂商皆推出自己的号称是状态检测的防火墙。至于什么是状态检测,各位可以查询,不是包过滤,不是应用网关型。
还有就是真正的状态检测其内核工作在二层和三层之间——也就是网络接口驱动和IP协议之间——进行状态检测。不要被某些厂商号称自己是状态检测作蒙蔽。
5.checkpoint每年的市场活动,各安全厂商群集响应,积极参加cp市场活动。以谋求更大的宣传效果。
前些日子防火墙选型,我选择了checkpoint,原因如下:
。。。。。。。。。。使用以来发现CHECKPOINT有以下优点:
1. 配置灵活,收缩性好。网络接口配置灵活,理论上不受限制。通过对硬件平台的升级更换,关键性能指标——防火墙吞吐量————可根据需要收缩。
2. 管理功能强大,维护简单方便。CHECKPOINT防火墙采用集中管理,在一个中央点可监控并管理所有的防火墙——包括各异地分支机构防火墙。而且日志功能强大,这一点对于查找网络可疑行为,排查故障,尤其重要。
3. 功能强大。例如内置流量管理QOS,内置多ISP冗余等等。
4. 能与应用紧密结合。比如WINDOWS用户认证,PKI/CA体系,LDAP用户认证,IDS,内容检查等开放标准的主流安全技术。
因为CHECKPOINT防火墙并未采用ASIC(应用程序专用集成电路)架构,相应的缺点是:相对于NETSCREEN,线速性能稍弱。但线速上的稍弱——微秒级别差距,基本可以忽略不计。
另外我公司也有NETSCREEN防火墙应用,NETSCREEN防火墙为ASIC架构的硬件防火墙,优点如下:
1. 因为是ASIC硬件,NETSCREEN防火墙对网络数据包的处理最接近于线速。
正是由于基于硬件,也相应的带来了缺点:
1. 收缩性差。网络接口、硬件性能已定。无法升级性能,无法扩充端口。
2. 管理功能弱。不能集中管理,无法做到从一个中央点监控管理所有的防火墙。没有强大的日志功能。
3. 功能简单。没有流量管理Qos,不支持多ISP冗余。功能不够CP强大灵活。
4. 与其它应用和安全技术的结合相对不如checkpoint紧密、广泛。这一是因为ASIC硬件缘故,二是因为checkpoint是网络安全领域的领跑厂商。
。。。。。。。。。。接下来的问题是选择何种硬件平台。。。。。。。。
CHECKPOINT主要硬件平台对比
1 Sun
硬件体系 SPARC RISC
操作系统 Solaris 64bit OS
性价比 良好
优点:
1 CHECKPOINT传统平台,也是CHEKPOINT的开发平台以及第一个版本的运行平台,与CHECKPOINT兼容性好。性能好。2 SOLARIS操作系统在网络应用领域普遍公认最优。
缺点:
在安装配置系统方面,需要更多的手工设置。
2 NOKIA
硬件体系 X86
操作系统 IPSO——定制的Freebsd
性价比 差
优点:
路由功能强大,支持广泛的广域网物理接口。
缺点:
1成本高,不论是第一次购买还是后续的备件供应。同等价位上性能低于其它平台。
2硬件扩充性能差,备件非标准件,不但价格高,而且有备件断货的风险。
3对CHECKPOINT的兼容和其他模块支持差。
3 PC SERVER
硬件体系 X86
操作系统 Secureplatform——定制的LINUX或者WINDOWS或者RED HAT
性价比 良好
优点:
1 CHECKPOINT安全定制的Linux操作系统。
2支持所有的CHECKPOINT产品和功能模块。
3性价比最优。
缺点:
采用PC服务器架构,稳定性可用性输于专用硬件平台和solaris硬件平台。
fengwy 回复于:2004-09-29 15:01:39
在网络安全领域,甚至是计算机领域,我们完全不用崇洋媚外。因为国内的研发力量已经渐渐在赶超了。当然,我们的整体实力还是有限的。但是,对于防火墙这种比较成熟的技术来说,我们完全可以做的和国外的一样好。国外品牌,大家熟知的checkpoint,为什么现在的市场份额越来越少?主要是自己不思进取。别人早都用硬件防火墙了,他还死抱着纯软件不放。
----------------------------------------------------------------------------
我们和国外比,差的不是一点吧。
硬件防火墙比软件防火墙好??这个观点才是误导用户了
fengwy 回复于:2004-09-29 15:10:11
国内的防火墙,怎一个烂字了得
lurchin 回复于:2004-09-29 18:08:22
config t 写到:
动态负载均衡----你说法需要改一下,不如说成流量负载共享
这个说法有什么问题?负载均衡的最高境界应该是动态负载均衡吧,到是感觉"负载共享"不太贴切
config t 回复于:2004-09-30 02:15:55
引用:原帖由 "lurchin" 发表:
config t 写到:
动态负载均衡----你说法需要改一下,不如说成流量负载共享
这个说法有什么问题?负载均衡的最高境界应该是动态负载均衡吧,到是感觉"负载共享"不太贴切
在一个安全网络环境里,你是需要做流量动态负载均衡,还是流量分流工程?
再说:你拿防火墙做动态负载均衡吗?
lurchin 回复于:2004-09-30 08:59:35
在大流量的网络环境中,出口有两台或以上的防火墙难道不正常吗,它们之间不存在负载均衡的问题吗,尤其是两台防火墙的处理能力存在差异的情况下?据我所知现在有的设备就有这种功能,不过只是简单的静态负载均衡,比如ONE IP等,但不能说动态负载均衡没有意义吧或不合适吧,尽管它实现起来有很大的难度,有一点要说明这里的负载说的是防火墙的负载
config t 回复于:2004-09-30 11:30:46
引用:原帖由 "lurchin"]在大流量的网络环境中,出口有两台或以上的防火墙难道不正常吗,它们之间不存在负载均衡的问题吗
发表:
可能我们观点不同
在大流量的网络环境中,出口有两台或以上的防火墙难道不正常吗,它们之间不存在负载均衡的问题吗,
它不是所谓负载均衡,如果从文字表过去看,均衡的理解与共享是不一样的
netscreen文档里面也没敢说他是负载均衡,特别注明是负载共享
fortinet中国区技术总监特别提针对这个字眼解释过,这里是负载共享,而不是均衡。
引用:原帖由 "lurchin"]出口有两台或以上的防火墙难道不正常吗,它们之间不存在负载均衡的问题吗,尤其是两台防火墙的处理能力存在差异的情况下?
发表:
对了,其实你的意思我这样子理解:一个负载均衡的设备放在两台fw前面,内网出去的流量能过负载均衡设备将流量比例压到每个fw上,以达到在未到fw前的流量均衡
我这里说的是两个fw做vrrp,通过路由方式将流量通过网段分流,出现问题自动进行切换
再想一想,路由出去与回来时的情况
niyasan 回复于:2004-10-01 01:22:54
楼主说得很对,但我认为后期管理也很重要的,不能说我有了防火墙,我就高枕无忧啦。这是不行的
loopback 回复于:2004-10-03 13:30:48
use checkpoint NG API R55 now.
lnx 回复于:2004-10-06 11:17:22
引用:原帖由 "config t" 发表:
天下第二兄:
东软的流过滤技术,不知道有没有使用经验,还是他们在吹水
“流过滤”是东软的首创,是在“状态包过滤”基础上的发展。 “状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整?.........
不知conifg兄所说的“流过滤”与check point提出的“状态检查”有什么不同?
vyouzhi 回复于:2004-10-20 20:13:01
还有呢
想再听一听
soi 回复于:2004-10-21 15:47:45
引用:原帖由 "config t" 发表:
对了,其实你的意思我这样子理解:一个负载均衡的设备放在两台fw前面,内网出去的流量能过负载均衡设备将流量比例压到每个fw上,以达到在未到fw前的流量均衡
我这里说的是两个fw做vrrp,通过路由方式将流量通..........
对哦
config t 回复于:2004-10-22 22:00:44
引用:原帖由 "lnx" 发表:
不知conifg兄所说的“流过滤”与check point提出的“状态检查”有什么不同?
我正想问这个"流过滤"技术,不知道有没有东软的兄弟出来解释一下
没使用过
lxw2016 回复于:2004-11-06 19:03:55
同意楼主的观点!!!!!!
老公爱老婆 回复于:2004-11-07 21:46:35
楼主果然高明,真想听听你的下回,等不急了!!!
liyang522 回复于:2004-11-23 08:35:46
厉害,期待下文,希望可以早点见到呢
reistlin 回复于:2005-02-24 09:28:02
很怀疑楼主是不是站在客观的立场上做的评价.
楼主的概念不是很清晰.尤其是硬件与软件防火墙之间的区别.
绝大多数的防火墙都是运行在通用系统或者专用系统上的软件防火墙.
包括很多国产的.国外的.真正能算是硬件的也就只有fortinet和netscreen算是硬的.运用的ASIC芯片.但是实际上也仅仅在低层过滤和控制上比较快.是参照的特征库.将特征库集成在ASIC芯片上.但是一旦要承担综合应用的检测.包括高层的安全检测.性能将会迅速下降到让人尴尬的高度.并且ASIC更新困难.智能性差.
不知道楼主有没有认真看过市场报告.
CHECKPOINT是每年都在增加.而不是你所说的减少.
CPU和内存将会严重影响FW的性能.尤其是并发连接数和策略的检测效率.
实际经验告诉我们.国内某一流大学.保护1W的节点.
当CPU为1G.RAM为2G的时候.整体性能将比默认的CPU800.RAM为1G的配置高出10%-15%.
在核心网络中.100W并发仅仅是基础要求.
我认为楼主没有接触过真正高端的产品与参与高端项目的实际经验.
reistlin 回复于:2005-02-24 09:28:52
很怀疑楼主是不是站在客观的立场上做的评价.
楼主的概念不是很清晰.尤其是硬件与软件防火墙之间的区别.
绝大多数的防火墙都是运行在通用系统或者专用系统上的软件防火墙.
包括很多国产的.国外的.真正能算是硬件的也就只有fortinet和netscreen算是硬的.运用的ASIC芯片.但是实际上也仅仅在低层过滤和控制上比较快.是参照的特征库.将特征库集成在ASIC芯片上.但是一旦要承担综合应用的检测.包括高层的安全检测.性能将会迅速下降到让人尴尬的高度.并且ASIC更新困难.智能性差.
不知道楼主有没有认真看过市场报告.
CHECKPOINT是每年都在增加.而不是你所说的减少.
CPU和内存将会严重影响FW的性能.尤其是并发连接数和策略的检测效率.
实际经验告诉我们.国内某一流大学.保护1W的节点.
当CPU为1G.RAM为2G的时候.整体性能将比默认的CPU800.RAM为1G的配置高出10%-15%.
在核心网络中.100W并发仅仅是基础要求.
我认为楼主没有接触过真正高端的产品与参与高端项目的实际经验.
IamCP 回复于:2005-02-24 11:08:02
呵呵,原来是做TOPSEC的!!!!
难怪有这种见识!!!!!!!!!!!!!
http://bbs.chinaunix.net/forum/viewtopic.php?t=493459&show_type=
你不会就是被骂的那个"天下第二"吧?!!
哈哈........................
inse7100 回复于:2005-02-26 04:19:46
CheckPoint is good. User friendly. Very Popular aboard.
cnadl 回复于:2005-02-27 10:07:01
答config t
fwsm是np架构的
关于load balancing和load sharing的争论
这个偶认为不仅仅是把防火墙装成vrrp就了事的
多isp之间更主要的要考虑到往返路径、DNS。由于一般ISP不可能给用户开放AS,所以必然导致两个不同的ISP出口地址不同,所以如何让inbound和outbound的流量能够自动选择IP,这才是比较关键的问题。
目前来看能够解决这个的只有f5、radware、nortel alteon等寥寥几家厂商。国内基本没有。
那些所谓的动态负载均衡,只怕是和topsec的并发数一样……
防火墙是软件好还是硬件好
我个人认为硬件比较好,偶最诟病软件防火墙的不是别的,是时延,这个只要是采用CPU+PCI总线架构的防火墙都有这个弱点。
关于软硬件,还有其他很多的方面了,大家各有各的看法,偶不多说了,欢迎大家指正。
xieweihua 回复于:2005-02-27 11:48:44
就是,没有必要追求什么高标准,
要衡量自己的本身的需求!
天下第二 回复于:2005-02-28 08:45:01
引用:原帖由 "reistlin" 发表:
很怀疑楼主是不是站在客观的立场上做的评价.
楼主的概念不是很清晰.尤其是硬件与软件防火墙之间的区别.
绝大多数的防火墙都是运行在通用系统或者专用系统上的软件防火墙.
包括很多国产的.国外的.真正能算是硬件的..........
十分感谢你的批评和指正。如果你有很多好的经验,为什么不分享出来呢。如果只是在这里指责我。我想大家也不会学到什么。这本来就是一个相互学习的场所。谢谢。请以后多发原创。
天下第二 回复于:2005-02-28 08:48:05
引用:原帖由 "IamCP" 发表:
呵呵,原来是做TOPSEC的!!!!
难怪有这种见识!!!!!!!!!!!!!
http://bbs.chinaunix.net/forum/viewtopic.php?t=493459&show_type=
你不会就是被骂的那个"天下第二"吧?!!
哈哈........................
没错,我就是。被谁骂了?你是谁。你的见识高就请说出来。我不欢迎在这里做任何对人的评价。你可以对我的版主工作提意见。但是别说无聊的话好么。谢谢你对本版的支持。
天下第二 回复于:2005-02-28 08:51:29
引用:原帖由 "cnadl" 发表:
腋鋈巳衔布冉虾茫甲钰覆∪砑阑鹎降牟皇潜鸬模鞘毖樱飧鲋灰遣捎肅PU+PCI总线架构的防火墙都有这个弱点。
关于软硬件,还有其他很多的方面了,大家各有各的看法,偶不多说了,欢迎大家指正。
你谈的很不错。希望积极发言。谢谢你对本版的支持。
好好先生 回复于:2005-02-28 11:05:34
引用:原帖由 "天下第二" 发表:
没错,我就是。被谁骂了?你是谁。你的见识高就请说出来。我不欢迎在这里做任何对人的评价。你可以对我的版主工作提意见。但是别说无聊的话好么。谢谢你对本版的支持。
呵呵,做版主没有不被骂的,只要自己问心无愧就行了……
KindGeorge 回复于:2005-02-28 11:44:44
不管什么情况,有讨论才有见解,有不同见解才有动力去研究.
本人搞技术,最关心的是我怎么能够以最少的投入能够创造出最大的效果.
所有硬件都是集成了软件的内容才构成一个整体吧,就象电脑一样,一个硬件装上软件才有用.硬件防火墙也是,把需要的软设置或指令集成在硬体里.
linux功能强大,在它的环境下,怎样开发出象硬件那么好的功能呢?
cnadl 回复于:2005-02-28 12:00:32
引用:原帖由 "KindGeorge" 发表:
不管什么情况,有讨论才有见解,有不同见解才有动力去研究.
本人搞技术,最关心的是我怎么能够以最少的投入能够创造出最大的效果.
所有硬件都是集成了软件的内容才构成一个整体吧,就象电脑一样,一个硬件装上软件才有?.........
linux上面不缺功能,缺的是性能。软件也是需要硬件的。
heyi2008 回复于:2005-04-13 14:34:41
慢慢研究!
unix菜鸟 回复于:2005-04-14 12:14:07
引用:原帖由 "config t" 发表:
pix是cisco帮intel清仓底!
但firewall module不知道是不是asic的?
firewall service module里面是PentiumIII 1G、1G RAM
capm 回复于:2006-01-20 13:16:36
引用:原帖由 zhangzzs 于 2004-9-7 13:21 发表
同意楼主说的.
我有关于ip350的问题想问。
你也可以发我邮箱:[email]cncapm@126.com[/email]
我是系统方面的工程师,最近需要了解这个产品。希望能得到你的帮助。谢谢
riechelr_hl 回复于:2006-01-24 12:01:25
说的很好,我同意,还有没有更全的???
fdhunter 回复于:2006-01-25 09:36:39
用过fwsm,并且使用虚拟防火墙结合idsm2联动的,就暂时不想让其他了
以此为标谁,技术与稳定上打死国内所有防火墙+ids,不知哪个国产厂家能跟cisco这个组合叫板
linux_admin 回复于:2006-05-06 15:41:29
有能力的话还是自己弄个防火墙玩玩,听说linux下的iptables用的好的话,可以做一个企业级的防火墙!应该是事实吧?防火墙、IDS是我进期的主攻方向!!努力学习中。。。
linux_admin 回复于:2006-05-06 15:46:58
有能力的话还是自己弄个防火墙玩玩,听说linux下的iptables用的好的话,可以做一个企业级的防火墙!应
该是事实吧?防火墙、IDS是我近期的主攻方向!!努力学习中。。。:shock:
chinaxsea 回复于:2006-05-11 23:12:30
图呢?
天下第二 回复于:2006-05-12 09:47:34
晕死,八百年的老贴谁找出来的?我都不好意思看了
airfy 回复于:2006-05-13 10:19:48
引用:原帖由 onebuyone 于 2004-9-8 14:56 发表
楼主说的不错,但不完全赞同,国内防火墙在功能和性能上的确有了不少进步,但是无论从防火墙的工艺水平或者防火墙的稳定性方面还是不能与国外的产品抗衡。我打开看过几个国内厂家的防火墙产品,一句话,惨不忍睹! ...
英雄所见略同!
Nokia + CheckPoint 做的就很不错,可惜性价比不高,估计这是NOKIA的一贯风格,看看NOKIA的手机策略就知道了。
remlong77 回复于:2006-05-15 10:00:33
等图中,准备参考
wguangw 回复于:2006-05-19 01:35:11
中了我裙下
kris_1882 回复于:2006-05-19 15:37:54
好贴好贴,收藏
olmsec 回复于:2006-05-21 11:48:17
NOKIA+CP价格太离谱了
netwatch 回复于:2006-05-24 10:12:46
不错啊
kexingtianya 回复于:2006-06-30 10:40:47
新人学习中。。。
爱国人士 回复于:2006-07-14 08:37:44
发了一个帖子引来无数英雄进言~~~~~
那你们写写你们的经验之谈吧,我很想看看~~~~~~~
越看越生气~~~~纯熟是人身攻击了~~~~~~
啦啦啦小白 回复于:2006-07-15 00:56:46
ding
ding
yjss139 回复于:2006-08-16 16:28:16
公司正打算采购防火墙呢,有了参考资料了。非常感谢!~
fuminglei8 回复于:2006-08-17 14:02:17
支持!最好的就是适合自己使用特点的.嘿嘿!不知道对不对
kku 回复于:2006-08-18 13:46:39
非常精辟
figosun12 回复于:2006-08-18 15:17:03
恩,楼主写的很真切
mars531706 回复于:2006-09-26 16:53:29
我一直都认为防火墙,杀毒软件这些东西都没什么意义.可能是我OUT吧.主要是我们公司没这些东西,全都是用开源的LINUX(太穷了啊),不过前段时间换了工作,接触了下一些网络安全方面的产品(其实也就是用了两天CHECKPOINT和MACFEE),觉得这两个公司的产品还是可以的.
对华为不敢苟同,我曾经用过华为的3226三层交换机,速度那个慢啊.了;令人郁闷
nigelcims 回复于:2006-09-29 15:45:26
我赞同
孤狼远影 回复于:2006-09-30 10:15:33
国产好的防火墙价格也并不低啊,但确实也是挺好用挺稳定的,我挺支持国产的,最近几个方案都是做国产的,毕竟防火墙这东西也就防防君子,给客户一个安心的理由而已,网络是没有真正的安全,只要能用稳定就行。
孤狼远影 回复于:2006-09-30 10:21:48
引用:原帖由 mars531706 于 2006-9-26 16:53 发表
我一直都认为防火墙,杀毒软件这些东西都没什么意义.可能是我OUT吧.主要是我们公司没这些东西,全都是用开源的LINUX(太穷了啊),不过前段时间换了工作,接触了下一些网络安全方面的产品(其实也就是用了两天CHECKPOINT ...
华为的东西我也不敢恭维,在我用过的交换机里印象最好的是北电的8600,现在做的方案用Cisco的4506。华为的用过一些高端二层交换机,但真不敢恭维,使我不敢尝试它的三层交换。
防火墙国产的并不错,毕竟防火墙这东西就是防君子,用处并不大,但没有这个硬件自己就比较麻烦,花钱买省心,毕竟不是花自己的钱,自己和客户也省心。
kelly1011 回复于:2006-12-02 15:38:20
顶!
superxx 回复于:2006-12-31 16:12:34
04年的贴子,现在还有人在ding.服了
ttvast 回复于:2007-01-01 05:00:37
引用:原帖由 superxx 于 2006-12-31 16:12 发表
04年的贴子,现在还有人在ding.服了
04年的枪手文,这篇文章的内容应该02-03年就是大部分国产防火墙的售前或销售们出门挂在嘴上的了。
langue 回复于:2007-01-01 05:25:35
咳,比什么呀,用户自己清楚。
mysugar 回复于:2007-01-10 23:49:44
支持!根据需要购买,不盲目。。
hust888 回复于:2007-01-15 22:58:01
http://www.trustcomputing.com.cn/ch/content/view/11/25/
UTM产品选型常见问答 [v1.1]
以下问题主要是针对客户选型及需求提出的。本FAQ内容不定期更新,请注意当前版本号。转载时请注明出处-武汉中神通信息技术有限公司。
为保护单位网络,在只能购买一台产品的前提下,应该选择防火墙还是UTM?
UTM。因为威胁的发展趋势表明,攻击主要来自于两个方面,一是混和攻击,二是对应用层的攻击,要抵御这样的攻击,单台防火墙的防护能力是不够的,只有选择基于防火墙的UTM产品,才能提供全面的保护功能。UTM可以配置成防火墙,而防火墙不能配置成UTM。
市面上冒出很多UTM设备,如何判断其真伪?
一个简单的方法是查看该设备的前身是否是经过公安部检测的防火墙产品,如果不是则要查看其防火墙模块是否符合公安部检测标准。另外一个方法是调查该设备是否自带硬盘,没有硬盘就没有统一日志管理,外接日志服务器的做法不适合UTM。
单位已购置了一台防火墙,还有必要再购置了一台UTM吗?
有必要。为了完善您的安全,消除"安全短板",对于安全等级高的资产的保护不能只依靠防火墙。在资金有限的情况下,选择购买UTM比选择购买IDS/IPS,防毒墙,AAA认证设备等单一功能设备更能适应单位发展的趋势。
。。。
|
