家用电脑用什么防火墙比较好？

楼主可以看看这个，参考一下。
流氓软件和木马在各种防火墙和杀毒软件的“打压”之下已经开始逐步向内核“退缩”，传统的依靠查看本地打开的端口与进程的关系的方法检查非法网络访问已经不再适用，个人防火墙已经成为装机必备的软件。目前主流的个人防火墙软件都是构建在Windows内核之上的，但是Windows的内核驱动是分层的，防火墙工作在哪一层实际上就决定了防火墙的性能，工作在TDI层的防火墙是无论如何也不能知道NDIS层的数据收发情况的，因为TDI驱动层在内核中是高于NDIS驱动层的。过去的木马（上个世纪九十年代以前）都是构建在Windows应用层上的普通程序，工作在TDI层的防火墙可以轻易地觉察并阻断它们非法的网络访问，但是对付缩进内核的木马和流氓软件，单纯的依靠TDI层拦截已经显得力不从心。内核木马的特点是不依赖句柄，不绑定端口（NDIS）
)，可以工作在TDI层，甚至在NDIS层，所以，真正可靠的防火墙应该在NDIS层建立防线。
虽然真正可靠的防火墙应该工作在NDIS层，但是，个人防火墙和用于服务器的防火墙毕竟还是有一些不同之处，工作在服务器端的防火墙只需要根据协议、地址和端口判断是转发还是丢弃就行了，高级一点还可以分析包内容，根据预设的专家系统判断是正常的数据包还是非法攻击数据包，这样的防火墙还可以用硬件实现。但是个人防火墙的特别之处就是需要与用户交互，用户数据多是基于IP协议的，并且用户并不关心协议的细节（掌握这些对大多数用户来说有点难度），所以个人防火墙除了通过IP层的协议进行过滤之外，更主要的手段是根据用户的意愿允许还是阻止某个进程（程序）访问网络，在这个粒度上用户比较容易理解和控制。从这一点上讲，工作在TDI层的防火墙的优势就是能够在网络访问发生的时候追踪到发起访问的进程名称，从而给用户一个提示，而工作在NDIS层的防火墙则不容易做到这一点。因为发送数据时上层驱动将数据包提交到NDIS的发送队列中后就返回了，当数据包被真正投递的时候已经无从确定是哪个程序（进程）发送的了，对于收到的数据包需要根据端口号判断是哪个程序的，但是在NDIS层并不知道端口号和进程的对应关系，所以无论数据发送还是接收都无法有效地确定是属于哪个进程的数据。如果不能确定哪个进程访问网络，只是根据地址、端口和协议进行过滤对（大多数）用户来说是很不友好的，所以最好的个人防火墙（不一定是最安全的）应该是TDI＋NDIS双保险：TDI层根据进程级访问过滤，NDIS层根据地址、端口和协议过滤。
前几天，一个朋友要我给他推荐一款比较好的防火墙软件，说实话，我也不知道哪个好，因为我没有比较过。没有调查就没有发言权，随便应付也不是本人的风格，加上本人最近正在验证一个在内核构建TCP/IP协议绕过防火墙的概念的可行性，需要对当前主流防火墙的能力有所了解，所以就把当前比较流行的防火墙都弄来研究了一下，没想到真是大开眼界，不看不知道，一看吓一跳。先上网搜了一下个人防火墙，没想到有这么多种，没时间全搞一遍，只能对用的最多的几个下手了，它们是“天网防火墙个人版”，“金山网镖”，“瑞星个人防火墙”，“卡巴斯基”，“冰盾”和“风云防火墙”，有几个防火墙软件不仅提供网络防火墙功能，还提供诸如文件访问控制，进程创建保护等功能，不过本文只是比较它们的网络防范功能。
首先是天网防火墙，这可是本人上学的时候最喜欢的防火墙了，简单好用。这次使用的是天网防火墙个人版（Trial_Release_v30_Build1213），结果却令人失望，天网是一个单纯的TDI防火墙。下图天网启动后的设备驱动加载情况：
图 1 天网防火墙设备驱动加载情况
工作在TDI层的防火墙有两种方式，一种是做成过滤驱动挂接到支持TCP/IP协议的设备上，简单地讲，就是发送给TCP/IP协议驱动的请求会先发送给它过滤，另一种是使用Hook的方式直接HookTCP/IP协议的驱动分派函数，相比较而言，第一种比较容易bypass，驱动层的木马或流氓软件通过设备直接找到TCP/IP的驱动发送请求，就可以避开Attach在其上的过滤驱动，从上图看，天网的驱动是一个Filter驱动，除了直接向TCP/IP的驱动发送请求可以避开天网之外，还有一种方法可以让它完全失效，就是直接摘除挂接的Filter驱动，看看下面的代码：
void ByPassAttachDevice(PDEVICE_OBJECT DeviceObject)
{
PDEVICE_OBJECT CurDevObj = DeviceObject;

while(CurDevObj != NULL )
{
CurDevObj->AttachedDevice = NULL;
CurDevObj = CurDevObj->NextDevice;
}
}
运行在驱动层的木马只要对设备驱动运行一下ByPassAttachDevice()函数就可以让天网和所有使用这种技术的防火墙形同虚设。口说无评，本人专门写了一个驱动来验证，首先在天网的设置中禁止IE访问网络，此时IE的网络访问会被禁止：
图 2 天网防火墙组织IE访问网络
然后用驱动加载测试工具加载本人编写的驱动程序（文后附有加载工具和驱动程序，以及使用说明，可以用来测试一下你用的防火墙是否安全），假设这是一个运行在内核的木马或流氓软件：
图 3 加载Bypass驱动程序
运行后天网就失效了，看看IE可以访问网络了，不仅IE，所有被禁止的程序都可以访问网络了：
图 4 天网防火墙失效了
结论，就不说了，真的很失望。
下面看看金山网镖，这个是我的朋友很喜欢用的，一直说它好用，本次比较用的是金山安全套件2008中附带的金山网镖，先看看它的驱动加载情况：
图 5 金山网镖驱动加载情况
这也是一个TDI Filter，没有在NDIS层做工作，使用前面的工具可以轻松bypass，不说了，下一个。
接下来是瑞星个人防火墙，使用的版本是瑞星个人防火墙2008。瑞星的驱动在TDI层使用了不容易bypass的TDI hook，除此之外，在NDIS层也使用了Hook，先看看TDI层的情况：
图 6 瑞星驱动的TDI Hook情况
再看看在NDIS层的Hook情况：
图 7 瑞星驱动的NDIS Hook情况
从驱动上看瑞星防火墙要比前两个强很多，本人曾试着手工恢复被hook的函数，虽然恢复后不再d出“某某程序要访问网络”的提示，但是实际上还是不能访问网络，不知为何，有兴趣的朋友可以研究一下。
再来看看卡巴斯基，这次使用的是卡巴斯基的互联网安全套装60个人版，从驱动上看卡巴斯基采用的是用TDI Filter驱动＋NDIS Hook：
图 8 卡达斯基的驱动加载情况
但是可能卡巴斯基的NDIS Hook只是用来分析可以的数据才使用的，也或者是为实现其它功能设置的Hook，总之，使用本文的程序可以bypass卡巴斯基的防火墙功能。
再看看冰盾防火墙，冰盾是一个服务器防火墙，这次使用的是冰盾81 Build60214，从驱动加载情况看，冰盾使用了一个NDIS中间层驱动，没有Hook，也没有处理TDI层的事务，毕竟它不是个人防火墙，没必要处理TDI层的事情（这只是本人的看法的）。工作在NDIS层的好处是可以探测工作在TDI层的rootkit木马，但是对于个人计算机用户来说，冰盾的设计不太好用（或者说比较难理解，相对于其它几种防火墙软件），另外，中间层驱动还容易被Hook，rootkit木马可以Hook它的处理函数，比如指向一个空函数，就可以瘫痪中间层驱动。
最后一个是风云防火墙，这个是从网上搜到的，以前没听说过，使用的版本是V126 正式版。这个软件除了防火墙功能之外，还有很多附加功能，比如文件访问监控，注册表访问监控等等，不过其网络防火墙这块使用的策略和卡巴斯基一样，可以被本文的工具bypass
从分析的结果来看，这几款防火墙软件对于应用程序的访问控制都是没有问题的，但是对于同样工作在内核级别上的木马和流氓软件则问题很多，只有瑞星防火墙结果好一点，其它的几款防火墙软件都挺令人失望，特别是天网防火墙。最后需要强调一点的是即使是瑞星这样使用TDI Hook + NDISHook的方式也不一定就是安全的，因为在应用程序级别上进行网络访问控制还是粒度太粗，如果使用rootkit工具将木马注入到防火墙允许访问网络的程序的进程中，就可以在防火墙眼皮底下堂而皇之地访问网络了，比如IE的一些BHO插件就是这么干得。
驱动加载测试工具以及bypass驱动下载
附录： 驱动加载测试工具以及bypass驱动的使用方法
首先将hook_testsys复制到windows的系统驱动程序目录中（如果是windowsxp的系统，这个目录可能是c:\windows\system32\drivers），然后运行drv_testexe，在驱动文件位置中填入驱动文件hook_testsys的完整路径名，在驱动名称中填入驱动名称，这个比较重要，因为后面的启动、停止和卸载驱动都需要这个驱动名称，不过不一定是“hook_test”，显示名称随便填写就行了。输入完成后首先点击“安装驱动”按钮安装驱动，如果没有错误再点击“启动驱动”按钮启动这个驱动程序，然后就可以测试你的防火墙软件了。测试的方法很简单，就是运行一个访问网络的程序，如果防火墙有效，会提示是否阻止程序访问网络，如果防火墙失效，则没有任何提示，卸载驱动先点击“停止驱动”按钮，然后点击“卸载驱动”按钮就可以了。
orbit 发表于CSDN 2008-04-02 20:46:10

服务器保护在防火墙中的地位是非常重要的。
防火墙是一种网络安全设备，它的主要作用是阻止未经授权的网络流量进入或离开网络。
服务器是网络中存储、处理和分发信息的计算机，它通常负责处理大量数据和提供各种服务，因此服务器的安全性非常重要。
将服务器保护在防火墙中可以有效地防止服务器遭到网络攻击和数据泄露。同时，防火墙还可以帮助管理网络流量，提高网络性能。
因此，服务器保护在防火墙中的地位非常重要，应该加以保护。
希望这些信息能帮助您了解服务器保护在防火墙中的地位。

look n stop,世界第一的防火墙,使用内存只有600K,2个外国人私人开发,强!!!哈哈哈,比什么诺顿,咔吧的防火墙强多了
Look'n'Stop是一款体积虽小，功能却十分强大的网络防火墙软件，它以领先的技术在多项网络攻击的防护评分中持续保持第一名的王座，值得重视网络安全的使用者尝试。
知名的国外测试报告评比为最优的防火墙
不仅打败了Norton,Kaspersky,Outpost,yahooAlarm,Sygate这些知名软件
Look'n'Stop 是一款体积虽小，但是防护功能却十分强大的网络防火墙软件，不仅适用于一般使用者的个人计算机，就连网络服务器或是网络路由器等也都适合使用，而它的防护功能更获得专业的网络防火墙评测网站评比为第一名，因此绝对值得使用者们一试。
Look'n'Stop 可以为使用者挡下诸如 DDos、FireHole等常见骇客攻击类型的攻击，让使用者在网络上形同隐形，不被其它使用者以 Ping 指令发现，因此也就降低了被攻击的风险，此外由于订制的规则严谨，因此对使用者来说有绝佳的d性，任何地址、通讯端口、封包类型都可以进行规则设定，让使用者可以为自己订制出最合适的防火墙规则。
对于想要进行网络联机的软件，Look'n'Stop也会予以先行阻挡，等到使用者确认过后常进行下一步动作，这对于多层呼叫的程序而言也一样有效，使用者可以清楚由Look'n'Stop所提供的讯息知道是那个软件呼叫了目前的程序，让彼此之间的主从关系一目了然，免于被利用程序漏洞执行的木马程序连出网络，泄漏了个人隐私。
由于Look'n'Stop的规则订制有很大的d性，对于一般使用者来说也许会稍嫌繁复，但是若是将规则订制完毕后，相信使用者就能够成功避免绝大多数的网络攻击了。
下载网上都有的,去找找

做VPS服务器服务商 用的都是机房自带的硬件防火墙
如果机房没有硬防，那这个机房将会很不稳定，
限制单IP的带宽，不是防火墙，是IDC管理软件中带有的。

所以你如果是想选带有防火墙好的机房，可以先去查目标机房的硬件，情况，好帮你选到正确的机房。

目 录
一,阿姆瑞特公司简介
阿姆瑞特是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团在亚洲的分支机构集团总部设在瑞典,拥有强大的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的,特色化的安全产品和服务目前,阿姆瑞特已经在北京,西安,南京,广州,成都等地先后建立办事处,并将销售延伸到全国各个省市,建立起遍及全国的销售和服务平台在金融,电信,教育,广电,电力,制造和政府等行业已经有广泛的应用,客户的一致好评和在玛赛,联想,赛迪等国内大型实验室优异的测试结果,显示了阿姆瑞特产品的卓越品质和公司雄厚的技术实力
阿姆瑞特人愿通过不懈的努力,与合作伙伴共同为中国网络安全发展尽自己的微薄之力阿姆瑞特的目标是:服务于中国的信息安全产业,为用户提供全球领先的安全产品和完善的服务
二,阿姆瑞特防火墙的产品线及性能
21 阿姆瑞特防火墙性能参数
性能
F50-NP
F100-NP
F100UP
F100Pro
F300Pro
F600-UP
F600Pro
F600+
F1800
F3000
F5000
F5000Pro
并发连接数
4,000
16,000
128,000
200,000
320,000
512,000
1,000,000
1,000,000
2,000,000
3,000,000
5,000,000
80,000,000
吞吐量(Mbps)
50
100
120
200
400
800
1,000
1,5000
2,000
3,000
4,000
16,000
延时( μs )
≤30
≤30
≤30
≤30
≤25
≤25
≤25
≤25
≤19
≤19
≤19
≤19
防火墙接口数量
4+6
4+6
4
6
8
6-14
6-14
6-14
6-14
6-14
6-14
5-40
用户数量
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
无限制
VLAN数量
无
无
256
256
512
1,024
1,024
1,024
2,048
4,096
4,096
32,768
规则数量
500
1,000
1,000
1,000
2,000
8,000
16,000
16,000
16,000
32,000
32,000
250,000
路由数量
64
128
128
128
512
1,024
2,048
2,048
2,048
4,096
4,096
32,768
隧道数
15
30
120
120
1,200
1,600
2,000
2,000
2,000
2,000
2,000
400,000
MTBF(小时)
30000
30000
30000
30000
40000
40000
40000
40000
50000
50000
50000
50000
规格(长宽高)
15721030
15721030
23843544
23843544
23843544
43543544
43543544
17025540
43543588
43543544
43543588
43543588
22 SME级别F50-NP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F50-NP
50M
4000
4+6
Unlimited
20M
25
NetScreen
NS-5XT
70
2,000
5
10
20M
10
NS-5GT
75
2,000
5
10
20M
10
NS-5GT_Ex
75
4,000
5
Unlimited
20M
25
Cisco
PIX-501-50
60M
7,500
2+4
50
6M
10
PIX-501-10
60M
7,500
2+4
10
6M
10
Nokia
IP40-U
70M
3
Unlimited
15M
10
F50-NP吞吐量可升级至75M
23 SME级别F100-NP&F100-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-NP
100M
16,000
4+6
Unlimited
40M
100
F100-UP
120M
128,000
4
Unlimited
95M
120
NetScreen
NS-25
100M
32,000
4
Unlimited
20M
125
Cisco
Pix-506E
100M
25,000
2
Unlimited
16M
25
Nokia
IP130
102M
100,000
3
Unlimited
13M
F100-NP吞吐量可升级至200M
24 CorpXpres系列F100-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F100-Pro
200M
200,000
6
Unlimited
95M
120
NetScreen
NS-25
170M
64,000
4
Unlimited
45M
500
Cisco
Pix-515E-UR
188M
130,000
2-6
Unlimited
63M
2,000
Nokia
Nokia无此档产品
25 CorpXpres系列F300-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F300-Pro
400M
320,000
8
Unlimited
130M
1,200
NetScreen
NS-204
400M
128,,000
4
Unlimited
200M
1,000
Cisco
Pix-525-UR
330M
280,000
2-6
Unlimited
145M
2,000
Nokia
IP350
400M
128,000
4
Unlimited
60M
2,000
26 EntXpress系列F600-UP性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-UP
800M
512,000
6-14
Unlimited
600M
1,600
NetScreen
NS-208
550M
128,000
8
Unlimited
200M
1,000
NS-500
700M
250,000
12
Unlimited
250M
5,000
Cisco
Cisco无此档产品
Nokia
IP530
507M
128,000
4
Unlimited
115M
2,000
IP380
600M
128,000
6
Unlimited
90M
2,000
27 EntXpress系列F600-Pro&F600+性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F600-Pro
1,000M
1,000,000
6-14
Unlimited
800M
2,000
F600+
1,500M
1,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG1000
1,000M
250,000
4 -8
Unlimited
1,000M
2,000
Cisco
PIX-535-UR
1,700M
500,000
2-8
Unlimited
440M
2,000
Nokia
IP710
1,300M
128,000
4
Unlimited
139M
2,000
28 TelcoXpress系列F1800&F3000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F1800
2,000M
2,000,000
6-14
Unlimited
1,000M
2,000
F3000
3,000M
3,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
ISG2000
2,000M
512,000
8
Unlimited
1,000M
10,000
Cisco
Cisco无此档产品
Nokia
IP740
2,000M
500,000
4
Unlimited
139M
10,000
29 TelcoXpress系列F5000性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000
4,000M
5,000,000
6-14
Unlimited
1,000M
2,000
NetScreen
Netscreen无此档产品
Cisco
Cisco无此档产品
Nokia
IP1260
4,200M
1,000,000
4
Unlimited
800M
210超级电信级产品F5000-Pro性能参数与同档次产品对比
公司
产品型号
吞吐量
并 发
接口数量
用户数
吞吐量
隧道数
Amaranten
F5000-Pro
16,000M
5,000,000
5-40
Unlimited
16,000M
400,000
NetScreen
NS-5200
10,000M
1,000,000
8
Unlimited
5,000M
30,000
NetScreen
NS-5400
30,000M
1,000,000
24
Unlimited
15,000M
30,000
Cisco
FWSM模块
5,000
1,000,000
100(VLAN)
Unlimited
n/a
n/a
Nokia
Nokia无此档产品
阿姆瑞特现已推出的5000Pro防火墙,是当今世界上最快的防火墙产品已经在欧洲的各大电信运营商网络成功的开始了应用
下面是它图样:
平台架构
最多支持八块高性能的基于ASIC加速的板卡
每块板卡支持2G的明通和密通吞吐量
每块板卡支持4+1个网口, 四个千兆口, 一个SFP
管理卡位于工控机的背板,不占用插槽
背板还拥有一个网口汇聚卡, 可以支持八个百兆电口,SFP,或者万兆口
重要技术参数
防火墙明通吞吐量16Gbps
IPSEC密通吞吐量16Gbps
同时并发连接8千万
55万大包PPS
四十万最大通道数
支持32768个VLAN接口
支持最多8000个虚拟路由系统
GAN兼容,支持3G网络安全需求
完全支持IKEv2和EIP-SIM
三,阿姆瑞特防火墙的组成
31 阿姆瑞特防火墙硬件
阿姆瑞特防火墙采用专有的硬件,采用高性能的CPU和大容量的内存保证硬件的高性能其中,阿姆瑞特NP系列采用NP的硬件架构;600UP以上的产品采用ASIC技术
32 阿姆瑞特防火墙内核
阿姆瑞特防火墙为"无系统内核",即:防火墙没有 *** 作系统,因此不会存在通用 *** 作系统的漏洞,从而在底层保证防火墙的安全性;同时,因为 *** 作系统需要不断地去维护,升级,无 *** 作系统就不存在此类问题,这也排除了因为系统升级,打补丁破坏防火墙功能,性能的问题
阿姆瑞特防火墙内核启动后,可直接管理防火墙的所有硬件(CPU,网卡,总线等),它可以在底层从硬件设备中接管进出防火墙数据并进行处理,利用了所有可能的硬件性能,同时减少了 *** 作系统的开销,因此可以最快的处理数据,使其成为市场上现有的最快的防火墙之一
33 阿姆瑞特防火墙管理器
阿姆瑞特防火墙管理器的作用是对防火墙进行管理,配置,日志的查询,同时可以集中管理到多达3万台防火墙
34 阿姆瑞特防火墙日志服务器
阿姆瑞特防火墙日志服务器的作用是接收并存储防火墙的日志
35 其它防火墙硬件和内核简介
厂家
介绍
阿姆瑞特防火墙的优势
Juniper
Juniper防火墙采用专用的 *** 作系统平台,而且把 *** 作系统固化在专用芯片(ASIC)上
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Juniper小,所以在性能上两者相差不大;但是在灵活性和扩展性上比Juniper强
Cisco
Cisco PIX防火墙采用安全的黑盒子,非UNIX系统,是X86结构
阿姆瑞特600系列采用ASIC架构,NP系列采用NP架构
阿姆瑞特防火墙内核文件到目前为止都是小于2M,比Cisco小,所以在性能上比Cisco强;在功能上和管理的方便性上都比Cisco强;而Cisco防火墙在加密算法的不同(如DES和3DES)则要不同的License和不同内存大小来支持,阿姆瑞特防火墙没有这样的限制
NOKIA
NOKIA防火墙采用NOKIA的硬件平台,而软件采用Check Point的
阿姆瑞特防火墙内核文件到目前为止都是小于2M,远远小于NOKIA防火墙,所以在性能和延迟比NOKIA强;在功能上和管理的方便性上比NOKIA的强;而NOKIA防火墙按照接口类型,接口数量,软件和用户数量来购买,阿姆瑞特防火墙没有这样的限制
四,阿姆瑞特防火墙的技术特点
阿姆瑞特防火墙除了是一款专业的防火墙设备以外,还具有强大得的路由功能以及专业级带宽管理功能具体对其技术特点概括如下:
全方位安全防护
强大的路由功能
专业的带宽管理
灵活的网络接入
丰富的功能
便捷的图形管理
细微的网络日志
41 全方位安全防护
阻断入侵者的攻击,保护用户的网络正常运行是防火墙的最基本职责阿姆瑞特防火墙提供者全方位的安全防护例如:
411 全状态检测防火墙
阿姆瑞特防火墙对所有的协议都可以进行状态检测进行过滤,直接对分组里的数据进行处理;具有完备的状态检测表追踪连接会话状态,并且结合前后分组里的关系进行综合判断决定是否允许该数据包通过,通过连接状态进行更迅速更安全的过滤因此可以防止假冒IP攻击,防止非正常连接同时提高防火墙工作效率
412灵活的访问控制
阿姆瑞特防火墙所能控制的颗粒度非常细,可以对以下的信息作出访问控制:
源和目的地址
源和目的接口
IP协议号
TCP和UDP端口号
端口范围
ICMP信息类型
IP和TCP中都有的选项类型
IP和TCP标记组合
VLAN信息
时间
防火墙的接口(包括物理和逻辑接口)
访问内容
访问的文件类型
访问控制可以说是防火墙的基本功能,不同的是Juniper,Nokia和PIX无法支持防火墙的接口,IP和TCP中的选项和用户访问文件类型进行访问控制
413 用户认证
阿姆瑞特防火墙支持本地用户库认证,RADIUS认证,LDAP认证
Juniper支持本地用户库认证,RADIUS认证,LDAP认证,RSA,SecurIP
Cisco支持本地用户库认证,RADIUS认证,TACACS
NOKIA支持本地用户库认证,RADIUS认证
不同的是阿姆瑞特防火墙做用户认证的时候,可以设置每用户名多次登陆,也可以设置每用户名一次登陆,此功能如下图所示:
414 强大的抵御攻击能力
阿姆瑞特防火墙提供针对黑客攻击的强大防御功能:
防止黑客对OS Fingerprinting 和 Firewalking的企图
防止黑客对网络的TCP/UDP端口扫描
防止黑客对网络的同步攻击
防止黑客对网络的ICMP flood攻击
防止黑客对网络的UDP flood攻击
防止黑客对网络的死ping(Ping of death)攻击
防止黑客对网络的IP欺骗(IP spoofing)攻击
防止黑客对网络的端口扫描(Port scan)
防止黑客对网络的陆地攻击(Land attack)
防止黑客对网络的撕毁攻击(Tear drop attack)
防止黑客对网络的过滤IP源路由选项(Filter IP source route option)
防止黑客对网络的IP地址扫描攻击(IP address sweep attack)
防止黑客对网络的WinNuke attack攻击
防止黑客对网络的Java/ActiveX/Zip/EXE
防止黑客对网络的默认分组拒绝(Default packet deny)攻击
防止黑客对网络的Dos & DDoS攻击
用户定义的不良URL
防止黑客对网络的Per-source session limiting攻击
防止黑客对网络的Syn fragments攻击
防止黑客对网络的Syn and Fin bit set攻击
防止黑客对网络的No flags in TCP攻击
防止黑客对网络的FIN with no ACK攻击
防止黑客对网络的ICMP fragment攻击
防止黑客对网络的Large ICMP
防止黑客对网络的IP source route
防止黑客对网络的IP record route
防止黑客对网络的IP security options
防止黑客对网络的IP timestamp
防止黑客对网络的IP stream
防止黑客对网络的IP bad options
防止黑客对网络的Unknown protocols
抵御黑客的攻击也是防火墙的基本功能,但阿姆瑞特防火墙在抵御攻击的时候,原理于其他防火墙不同
其他的防火墙
通过设定阈值进行攻击防范,例如每个IP每秒2000个SYN报文以下才认为是正常的,超出视为攻击因此比较难慢性抵御DDOS攻击(例如:很多IP每秒1500个SYN攻击)
依托通用OS,OS对攻击的抵御能力不足;且防火墙软件与OS间必然存在开销,消耗系统资源
阿姆瑞特防火墙
采用类似代理技术进行攻击防范,必须首先与防火墙建立起连接,防火墙才会再与主机进行连接,攻击不会通过防火墙到达主机
专用内核,没有OS开销,提高了自身抵御攻击能力
设计中充分考虑了系统抗攻击的能力,预留防火墙系统资源,任何情况下CPU利用率都不会达到100%
415 URL过滤
阿姆瑞特防火墙支持URL过滤
Juniper支持URL过滤
NOKIA不支持URL过滤
Cisco PIX Firewall URL过滤与NetPartners Websense产品一起提供PIX Firewall用Websense服务器上制定的政策检查外出的URL请求,这些政策在Windows NT或UNIX上运行PIX Firewall 53版本及更高版本中支持Websensen第4版本
根据NetPartners Websense服务器的答复,PIX Firewall接受或拒绝连接这台服务器检查请求,保证这些请求不具备不适合商业用途的17种Web站点特征由于URL过滤在独立平台上处理,因此,不会给PIX Firewall带来其它性能负担
42 强大的路由功能
阿姆瑞特防火墙的路由功能非常强大的路由功能,最大可以支持4096条静态路由此外还支持策略路由,动态路由以及虚拟路由等
421 策略路由
阿姆瑞特防火墙可以基于不同的策略定义不同的路由,因此可以根据源地址,服务,时间等定义不同的路由从而达到不需要其他设备可以连接多个ISP,应用在多个出口的环境,同时,可以对数据包的路由方向进行选择此功能如下图所示:
不同的是通过策略路由可以支持WEB Cache(例如:免费的Squid)从而达到利用免费的软件实现URL过滤,应用代理的目的,同时可用作支持病毒扫描服务器等
Juniper支持策略路由,只是做到源地址,源IP,源端口,目的地址,目的IP,目的端口但无法对时间,数据包路由的方向作策略路由
Cisco不支持策略路由
NOKIA支持策略路由
422 路由备份
阿姆瑞特防火墙可以做到端口之间的冗余,这样可以保证不会因为一条链路的中断而造成业务的中断,此功能如下图所示:
423支持OSPF V2动态路由
阿姆瑞特防火墙全面支持OSPF路由协议,完全符合RFC文档对OSPF协议的规定因此可以于专业的路由器的OSPF媲美,同时支持透明下起OSPF协议,OSPF OVER IPSEC等
阿姆瑞特防火墙的OSPF根据RFC 2328来定义,支持OSPF版本2,也可以支持早期版本RFC 1538,可以和CISCO,北电等设备之间做OSPF
不同的是通过阿姆瑞特防火墙自带的日志软件,可以对OSPF HELLO包做分析;即使防火墙工作在透明模式下,也可以运行OSPF协议;在网络环境下也支持OSPF协议的运行
Juniper防火墙OSPF基于虚拟路由器而启用的,根据RFC 2328的定义,支持OSPF版本2,也可以支持早期版本RFC 1538在网络环境下也支持OSPF协议的运行
NOKIA支持OSPF协议,采用的标准是RFC 2328,不支持早期版本RFC 1538
Cisco PIX防火墙不支持OSPF协议
424 支持虚拟路由器/系统
阿姆瑞特防火墙支持虚拟防火墙功能,是通过回环接口组的方式实现的,要求防火墙的版本在85以上
NOKIA支持虚拟防火墙功能
Juniper虚拟防火墙逻辑划分了多个虚拟系统,以提供多客户式托管服务,每个虚拟系统(VSYS)都是一个唯一的安全域,并且可以拥有自己的管理源,管理员可以设置自己的地址薄,用户列表,自定义服务,,策略以使自己的安全个性化可以通过两种方式实现虚拟系统:基于VLAN和基于IP要在204以上的才支持,5200和5400最多可以做到500个
Cisco PIX支持虚拟防火墙功能,但要求防火墙版本是70以上
425 对VLAN的支持
阿姆瑞特防火墙全系列型号都支持VLAN
Cisco防火墙要在515型号以上的才支持VLAN
Juniper防火墙要在25 高级版本型号以上的才支持VLAN
NOKIA防火墙要在130型号以上的才支持VLAN
43 专业的带宽管理
阿姆瑞特防火墙除了具有全方位的安全防护和强大的路由功能以外,还具备专业的带宽管理功能
阿姆瑞特防火墙支持阿姆瑞特防火墙可以基于IP,基于服务,基于接口,基于组信息,基于VLAN信息,连接等信息进行带宽管理并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量通过QoS/CoS设置,可以进行:
· 带宽限制
· 带宽保证
· 优先级控制 (0-7,有8个优先级别)
· 动态流量均衡
此功能如下图所示:
总体来说,阿姆瑞特防火墙在作带宽管理的时候,具有如下特点:
通过定义管道的方式提供CoS/QoS功能
管道没有数量的限制
带宽管理设置精度为1Kbps
可进行带宽限制,带宽保证,动态均衡带宽
大差别带宽管理时,不存在"饿死"现象
可对上传和下载数据分别进行带宽管理
明通,密通数据均可以作带宽管理
带宽管理可基于接口,VLAN,IP地址,服务,时间等设定
Juniper,Cisco,NOKIA防火墙做不到带宽保证,动态流量均衡同时带宽管理的精度也比较粗糙(为64kbps)
44灵活的网络接入
阿姆瑞特防火墙在网络接入方面非常灵活,具体的特点如下:
透明,路由,混合接入
同一接口下的透明+路由
源地址,目标地址同时转换
对称式接口设计
441 路由,透明和混合的工作模式
阿姆瑞特防火墙支持路由,透明和混合的工作模式
Juniper只支持路由和透明模式
Cisco只支持路由的工作模式和透明模式(需要防火墙的版本在70以上)
NOKIA只支持路由和透明模式
不同的是阿姆瑞特防火墙可以在透明模式下实现和路由模式下相同的功能,如在透明模式下支持NAT,VLAN,,OSPF,HA和虚拟防火墙等功能
442 同一接口下的透明+路由
阿姆瑞特防火墙支持同一的网络接口下的透明+NAT,如图:
防火墙if2接了2个网段,同时if2也配置了2个不同网段的地址,if1同if2其中一个地址在同一网段上,于另一个地址在不同网段上这样防火墙的if1于if2同时处于透明+路由的情况
Juniper,Cisco和NOKIA均不支持这个功能
443对称式接口设计
阿姆瑞特防火墙的接口都是对称试设计,因此任何一个接口都可以是内网,外网或者DMZ区因此可以作多个内网,多个外网或者多个DMZ区
444 接入模式
阿姆瑞特防火墙支持ADSL,DHCP Client,固定IP地址,支持多条ADSL线路拨号,支持ADSL按需拨号,此功能如下图所示:
Juniper不支持多条ADSL线路拨号
Cisco不支持多条ADSL线路拨号,ADSL按需拨号
NOKIA不支持多条ADSL线路拨号,ADSL按需拨号但NOKIA支持FDDI,ISDN,Token Ring,Serial(X35和X21),T1,E1,HSSI接口
45 丰富的功能
阿姆瑞特防火墙有如下功能:
1, __Client 的NAT设备的穿越
2, __Client 拨号上来可以通过DHCP服务器动态得到地址
3, __Client 拨号上来也可以自己手动设定一个虚拟IP地址,并可以和内网用户做双向通讯
4, __Client 拨号上来不仅可以通过Pre-Share KEY 的方式验证,同时还可以做用户名和密码的XAuth验证(通过RADIUS数据库)
5, __Client 拨号上来也可以通过证书的方式做用户认证,并且支持 CA服务器颁发的证书 或 自己生成的自签名证书
6, __Client 不仅可以拨号防火墙的外口公网IP地址建立隧道,也可以拨号一个动态域名建立隧道,
7, 站点之间的 支持Pre-Share KEY 的方式验证身份,也可以支持CA服务器颁发的证书 或 自己生成的自签名证书
8, 站点之间的 支持星型的互连
9, 站点之间的 支持NAT设备的穿越
10, 站点之间的 支持ADSL的动态地址的隧道的建立
11, 站点之间的 支持全开放的加密协议和生命周期的调试,IKE提议和IPSec的加密和传输方法都可以调试,可以和其他设备建立隧道
12, 全面支持PPTP,L2TP和GRE封装形式的技术
13,支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Juniper, Cisco和NOKIA不支持站点之间的 支持ADSL的动态地址的隧道的建立
Cisco和NOKIA不支持2个站点之间建立多台隧道,并且做到隧道之间的备份
Cisco防火墙在国内销售的防火墙加密算法只支持DES,不支持3DES,主要是美国政府不允许,而且要收费,但是在欧洲销售的防火墙都支持DES和3DES,而且还免费

总体上讲可以称之为安全网关。涉及到的功能主要是：防火墙、垃圾邮件过滤、网页过滤、、防病毒等。

可以通过防火墙设置，使Internet或外部网用户无法访问内部网络，或者对这种访问配备更多的限定条件。在网络系统与外部网络接口处应设置防火墙设备；服务器必须放在防火墙后面。

还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施（PKI)系统、授权证书（CA)系统、安全 *** 作系统、防病毒软件。

网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络。

这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

百度百科-网络安全设备

1透明模式

透明模式也可叫作桥模式。最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。

正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、***等功能。

2网关模式

网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。

3NAT模式

NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。

NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。

---