返回首页
当前位置: 网站首页>>网络安全>>防火墙>>

2005年度千兆防火墙公开比较评测报告

时间:2006-11-02 来源:网络世界 作者: 点击:
鉴于此,我们《网络世界》组织了新一轮的防火墙测试,旨在通过我们的测试,能给读者选择防火墙提供一些参考,也希望在如何用好防火墙这个问题上给管理员们一些借鉴。 除了进行一些基准性能测试外,我们更多地是采用模拟实际用户环境的方法,对防火墙进行了从应用层防护
  

    鉴于此,我们《网络世界》组织了新一轮的防火墙测试,旨在通过我们的测试,能给读者选择防火墙提供一些参考,也希望在如何用好防火墙这个问题上给管理员们一些借鉴。

    除了进行一些基准性能测试外,我们更多地是采用模拟实际用户环境的方法,对防火墙进行了从应用层防护到抗DoS攻击时Web性能的较为全面的考察。Check Point、Fortinet、联想网御、首信和Symantec五家产品勇敢地接受了这个挑战,参加了我们的测试。

    另外,在这次千兆防火墙测试中,我们还向安氏、东软、港湾、海信数码、华为3Com、Juniper、O2Micro、瑞星、ServGate、神州数码、思科、天融信、中科网威等公司发出了邀请,但他们都以不同的理由拒绝了,天融信和神州数码虽然也想参加我们的测试,但在我们的产品征集时间内没能送来设备而遗憾地错过。

    在测试中,除了使用IXIA的测试仪外,华为3Com公司还提供了三层全千兆交换机Quidway 5516用于搭建测试环境,此外,在测试准备期间的网上调研中,有100多名读者给我们发回了有效答卷,在此一并向他们表示感谢!



Check Point i-SECURITY SP-5500

    经过一个月的测试,5款迥异的防火墙将它们的特点清晰地展现在我们面前。Fortinet的FortiGate 3600和Symantec Gateway Security 5460是“一体化”的安全网关,尽管它们在性能和安全方面有一些差异,但都提供了极为丰富的入侵防御和防病毒功能。联想网御Super V最大的特点是具有超强的性能,而首信的CF 2000-BP500在性能测试的一些项目中也有出色的表现,并提供了一些很实用的功能。Check Point i-SECURITY SP-5500在大多数测试项目中表现优异,有不错的性能,也提供了较为丰富的应用智能。在最后的综合评比中,Check Point i-SECURITY SP-5500凭借其全面的表现赢得了最高分数,获得了此次《网络世界》评测实验室千兆防火墙公开比较测试的编辑选择奖。

一、P2P控制

    网络管理员:最近“火”起来的Skype,人们习惯将它归类于IM(即时消息),其实,和BT下载一样,它本质上属于P2P通信软件。这些工具很多都宣称自己可以穿越防火墙。难道防火墙就束手无策吗?

    测试实况:  Skype等软件为了便于用户在各种条件下使用,它们可以利用80(一般用于HTTP)和443(一般用于HTTPS)端口进行通信,而这两个端口对于防火墙来说一般都是打开的。我们采用了两种方法进行测试,旨在考察防火墙是否可以控制Skype通信以及是如何实现此功能的。拓扑如图1所示(第二种拓扑用代理服务器取代网关,其余配置类似)。

图1 P2P通信控制拓扑图

图2 防DoS攻击拓扑图



    测试中,只有Check Point i-SECURITY SP-5500和FortiGate 3600能够针对Skype进行控制,而且两种测试拓扑都控制成功,尽管它们在配置上有所区别。



    不管是哪种测试拓扑,在一开始,我们并没有启动Skype控制,而是在防火墙上添加了必要的地址和策略配置,除了域名解析外,我们只允许目的端口为80和443的通信通过。并启用了NAT,还根据需要进行了默认路由的配置。

   

[1] [2] 下一页  

------分隔线----------------------------
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
最新评论 查看所有评论
发表评论 查看所有评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 密码: 验证码:
推荐内容