天网防火墙比较分析材料.doc

天网防火墙比较分析材料一、 天网防火墙与国外产品的比较国外产品最早在国内市场出现，那时候国内还没有自主开发的防火墙系统，因此市场基本上被国外产品垄断，主要的产品有：Sun公司的Sun Screen EFSCheckPoint公司的FireWall-1CISCO公司的PIX比较如下：国内外防火墙产品比较表Cisco PIXCheck Piont Firewall-1天网防火墙SunScreen EFS产品形态硬件黑盒，但需要额外硬件才能支持 IPSEC软件，需要昂贵的网络服务器才能运作硬件黑盒，无需额外硬件系统，需要昂贵的Ultra Sparc服务器操作系统专用操作系统，性能很高，安全性很强基于NT或Solaris，性能差，安全性低专用操作系统，性能很高，安全性很强基于Solaris，性能较高，安全性较好系统载体Flash Rom，大幅延长平均故障间隔时间（MTBF），但无法保存网络记录和建立Cache硬盘，平均故障间隔时间（MTBF）短Flash Rom，大幅延长平均故障间隔时间（MTBF），同时可以将网络记录和Cahce输出到硬盘上硬盘，平均故障间隔时间（MTBF）短产地美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能中国，具有高安全性的加密模块，价格合理，专门针对国情设计美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能状态检测分组过滤（Stateful Packet Filter）支持支持支持，同时支持分组过滤（Packet Filter）支持网络地址转换(Network Address Translation)支持支持支持，可以与透明代理服务器共用支持透明代理服务器不支持不支持支持，并可以与NAT共用，方便的解决在NAT中使用FTP等服务的难题不支持代理服务器HTTP FTP SMTP，无CacheHTTP FTP SMTP，无CacheHTTP/FTP，有Cache不支持Cisco PIXCheck Piont Firewall-1天网防火墙SunScreen EFS反向代理服务器不支持，作为另外的产品(Cache Engine)出售不支持支持，可以利用反向代理服务器建立负载分担的Web Server不支持双机热备份支持，提供较强的容错能力不支持支持，提供较强的容错能力不支持集群处理(Cluster)不支持不支持支持，提供容错、负载分担、热替换功能不支持信息过滤不支持不支持支持不支持网络黑洞支持支持支持支持流量控制不支持，作为另外的产品出售不支持、作为另外的产品（Flood Gate-1）出售支持，可以对不同IP、不同端口、不同协议、不同流向的数据流做出统计和限制不支持，作为另外的产品(Traffic Shaper)出售负载分流不支持，作为另外的产品(Distributed Directorr)出售不支持，作为另外的产品(Connection Control)出售支持不支持URL 拦截支持，但需要与另外一台服务器上的Cisco软件产品一起使用支持支持不支持管理界面命令行，参数复杂，英文，Web管理界面需要另外购买GUI，英文，远程管理模块昂贵基于文本的菜单（控制口）和基于Web的全中文界面，带有128位SSL和Session功能，保证远程控制的安全GUI，Web界面，Web界面可用SKIP加密中立区（DMZ）支持支持支持支持DoS 、IP Spoofing 防御支持支持支持支持快速安装功能支持不支持支持不支持2000 年过渡支持支持支持支持二、 天网防火墙与国内产品的比较天网防火墙在国内的主要竞争对手包括有天融信的网络卫士、清华紫光UF3100防火墙和东大阿尔派的网眼防火墙，其它的产品由于资料不全，暂不作比较。总比较表：功能 产品天网网眼清华紫光网络卫士系统内核SNOSLINUXLINUXLINUX路由与网桥混合工作支持不支持不支持不支持具有TCP标志位检测功能支持不支持不支持不支持千兆网络接口支持不支持不支持不支持负载均衡支持不支持支持不支持基于以太网的包过滤支持支持支持支持信息内容过滤支持支持不支持不支持IP和MAC地址绑定支持支持支持支持全息日志记录支持支持支持支持网络应用的访问控制支持支持支持支持防止DOS攻击支持不支持不支持不支持虚拟专用网（VPN）支持不支持支持支持实时入侵检测支持支持不支持支持实时的状态监控支持支持不支持支持支持第三区域（DMZ）支持支持支持支持网络地址转换（NAT）支持支持支持支持流量统计与管理支持支持支持支持管理工具GUIGUIGUIGUI双机热备份支持支持不支持不支持统计计费支持支持支持不支持支持多播信息支持支持不支持不支持事故警告支持支持不支持支持1、 与网眼防火墙的比较：l 工作模式网眼只能在一种工作模式下工作，选择网桥或路由的工作模式，而不能同时在两种模式下实现混合工作模式，这大大限制了防火墙各种功能的充分利用。天网防火墙包含了网络2、3到7层的防火墙功能，系统可以设置成为电路级的防火墙，没有任何ip设置，其强劲的虚拟网桥方式，允许多个网络端口灵活设置成为网桥，这时，天网防火墙可以看成是一个高性能的网络交换机，所有的网络数据在天网防火墙灵活的设置下，安装管理员的要求，即可以畅通无阻的通过，也可以无声无息地被阻断。天网防火墙也可以设置成网关级的防火墙，这是最常见也是最通用的防火墙，系统提供各种包过滤方式，NAT功能，成为一个大型网络的高效网关。系统还可以设置成为应用代理式防火墙的防火墙，提供高级的应用网关，实现用户认证、URL拦截、内容过滤等高级功能。而且，天网防火墙可以同时在网桥和路由两种工作模式下工作，大大扩展了各种功能的应用。l VPN功能VPN功能是许多企业单位和ICP网站都需要用到的重要功能，包括企业内部各地办事处之间的保密数据传输，还有ICP网站在进行网站数据更新的时候，都需要利用VPN功能来完成。网眼并没有此项功能，这会导致它在许多关键应用中不能发回应有的安全防护作用。2、 与清华紫光UF3100防火墙的比较 3、 与网络卫士的比较l 负载均衡使用天网防火墙的负载均衡，可以建造具有快速响应时间和高容错的大容量服务器集群系统。天网防火墙的负载分布模块，可以智能地将用户的服务请求分布到多台服务器上面，同时，提供容错功能，可以自动隔离出问题的服务器。系统具体功能如下：1）动态负载均衡天网防火墙的负载分布模块可以根据服务器的负载情况，包括CPU 占用量，系统Load等情况，自动选择负载最小的服务器，将用户的服务请求发送到该机器上。2）容错处理天网防火墙的负载分布模块可以自动检测服务器的可用性，当某一台服务器出现故障的时候，分布式系统会自动绕开发生故障的机器，不会将用户的服务请求发送到该机器上，保证了系统的正常运作。网络卫士不能支持负载均衡，使它不能应付超大数量的并发访问请求，这对于许多大型网站和ISP来说，会因此而出现瓶颈现象。l 双机热备份天网防火墙系统拥有构造双机热备份结构的功能，从而能提高系统的稳定性、容错性。由于防火墙系统是整个网络的网关，是连接内部网络、外部网络、DMZ区的交通枢纽，具备双机热备份本领的天网防火墙系统无疑是整体网络稳定性、容错性的保证。采取双机热备份结构的天网防火墙系统在常规运作的时候分为主服务器和备份服务器，备份服务器通过专用通信端口作主服务器设置、纪录数据的镜像。备份服务器的网络设备并不运作，防火墙工作由主服务器完成。如果因网络或某些因素使主防火墙服务器不能正常运作时，备份服务器会在一秒钟内自动启动，负责保护网络安全，并发出警告通知网络管理员。网络卫士缺少双机热备份功能，这会导致它在许多关键性应用中不能保证整个网络系统运作的稳定性和不可间断性，一旦出现一些意外情况特别是物理意外的时候，整个网络系统会面临崩溃的危险。l DOS攻击防御天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。网络卫士目前没有DOS防御功能，据国内著名的安全组织绿色兵团的检测显示，网络卫士不能有效的阻挡外部对防火墙内部的服务器进行DOS攻击。附：内核分析1. 项目的独特性专用的网络操作系统核心SNOS，提供高效快速的网络处理能力。多平台技术，提供各种平台的系列产品，提高产品的竞争能力。领先的算法架构，令产品的部分特性超越国际现有水平，提供产品进入国际市场的机会。2. 网络安全产品行业特点网络安全行业是一个技术含量相当高的行业，而目前国内网络安全方面的人才十分稀缺，专业公司较少，整个行业呈现一片蓬勃的生机。另外，真正的网络安全核心技术具有较大的不可模仿性使得行业的进入有相当的难度。今年来国内外出现大批网络安全产品厂家，但其中大多数厂商的投机行为明显，多数是采用Linux（GPL）操作系统的核心略作修改，本身对网络安全的意识以及网络维护的经验并不足，这类型的厂家在WTO后，由于Linux系统本身采用的是公开源代码的GPL使用执照，他们的产品就面临着严重