首页新闻手机家电数码电脑财经大模型直播

大型网络如何选用适合的硬件防火墙

来源： eNet硅谷动力作者： xuqingzhong 2008-05-24/23:13

正文

伴随着网络的告诉发展，安全问题已成为用户组建网络环境最为关心的因素。特别是对企业用户而言，随着企业网络应用的深入，业务范围的拓展，必定会对网络安全有更高的要求。特别在传统的服务器端安装防病毒软件、进行相关安全设置调整，已经无法满足用户对网络安全的需求时，硬件防火墙越来越多的被企业用户所关注。07年上半年，网络呈现出病毒猖獗、黑客活跃的局面，企业用户信息甚至财产都受到来自网络的威胁，大多数企业已经认识到只有保证网络安全，才能更好的提高工作效率，带来更多的收益。编者将在本文对网络安全问题进行讨论，为大家找寻适合自己的硬件防火墙设备。

医疗保险需求分析

医疗保险网络信息系统的基本模式是：保险公司核保人员与医院医生及IT专家成立一个第三方医疗管理机构，负责医疗网络管理。网络由签约医院、保险公司及社保机构相联，通过计算机可以方便地把医保、商业保险赔付及自付款按约定的比例自动处理，结果由专家进行核准。实时的医疗保险理赔系统提高了日常重复的理赔工作处理的效率，因而提升了客户对整个医疗服务的满意度，而其数据库的数据也为保险公司进行产品精算和客户管理提供了宝贵的数据。

通过对医疗保险信息化建设，对潜在问题和风险进行分析，可以归结如下问题：

(1)人为因素方面：由人员工作疏忽造成的操作流程缺失；因以权谋私出现的数据非法修改；犯罪分子的人为欺诈引发的社会问题；网络黑客的恶意攻击造成的系统瘫痪与经济损失；投保人逆选择的欺诈索赔等。

(2)客观因素方面：由不完善开发的系统导致的故障率高发现象；因资金短缺和周转不灵等问题引发公司经营困境；因不完善的管理致使系统可持续性中断等。

规避和防范风险不仅是网管人员的工作，它更需要领导人的支持与重视。随着数据大范围的集中，信息系统的安全性、可靠性、稳定性、有效性和可信性就显得更加重要。

以上罗列的风险可能存在的环境包括了信息技术流程管理、技术安全管理、项目管理和生产系统运行管理的各项过程中。因此，需要领导者对每一个环节的重视，如此也体现了集权控制的重要性。

教育科研需求分析

需求之一大规的接入需求。运用专线网络、普通拨号接入作为校区互联应用的基础，已经不是满足远程接入的必要手段。特别是SSL VPN在B/S、C/S构架的网络上全面适应，以及高强度加密保障传输安全等性能，已逐步形成一种主流的替代模式。

需求之二的移动访问数字图书馆。校园数字图书馆的应用越具规模，从工作人员将自身馆藏书籍数字化开始，到与商业化合作购买阅览版权，再将数据与校园网共享，让校内外师生都能方便查询电子文献资料。这是以教育信息化直接面向师生应用较为广泛的需求之一。

需求之三的校园内外网的多线路智能分流。网络世界无所谓纵横分布，每一个交点上都可能汇集着多条不同的线路，就说国内现状，电信、网通、铁通、联通争相角逐，又有教育网、科技网的应用覆盖，这就很难保证同一所高校的所有节点应用在同一个网内。多线路的接入会产生数据在线路之间转移时的延时现象。而对于大流量的数据在传输过程中，又会导致带宽瓶颈等问题。

政府机关需求分析

信息化发展在推动行业改革的同时，也是国门建设的重中之重。对于历来代表国门建设的政府部门来说，除了带头牵动的信息化产业链的发展，还要在信息化的延革中起着表率作用。另一方面，政府工作涉及到人民生活的各个层面，工商、财政、税务、统计、交通、国土、民政、质检、农林渔牧……，每一个都是不可或缺的环节。在政府行政部门中，对安全性、保密性、稳定性要求极高的单位，都已拥有独立的专线网络，如人民政府网、金税网、公安网等。其他尚未完全部署专网的政府机构或一些基层单位，也希望能通过其他方式建立起属于省市及其直属单位的专用网络。

需求产生：

作为政府部门信息化建设，有着其自身的特殊性。

专网线路为了保证绝对安全，必须做到零接触物理隔离；

省市县镇乡各直属部门必须做到阶梯式分级管理；

省级厅办单位要做到集权控制；

各部门OA系统、数据库及内网文件交换要做到高强度加密传输；

软硬件系统必须通过国家级相关安全认证标准；

部分专网应用还必须支持专用线路备份传输与数据分流等。

在信息化战争的时代，网络入侵技术与网络安全技术逐渐成为现代战争的代名词。可以说国家的命脉在信息化来临的时候，就已和网络安全技术挂上了关系。网络安全技术的优越，将是政府信息化不得不考量的选用标准。

企业需求分析

对于企业来说，病毒、黑客等已不再是公司信息安全最大的威胁。一项网络安全专项调查显示，超过85%的安全威胁来自公司内部，其中有16%来自内部未授权的存取，14%来自专利信息被窃取，12%来自内部人员的财务欺骗，而只有5%是来自黑客的攻击。那么企业应该采取那种方式来保护自己的信息安呢？

模块化应用模式，通过各个模块的整合，与这两个子系统进行配合，最终通过灵活可变的系统构架，可以容易的部署全方位的信息安全解决方案。

整合企业用户价值，全面的安全保障，降低维护架设总成本，保证长期稳定的运行。

下面，笔者为大家推介几款硬件防火墙，让有意部署网络安全系统的企业用户参考。

思科 PIX-535-UR-BUN 防火墙

（参考价：120000-180000元） #p#分页标题#e#

Cisco Secure PIX防火墙535提供的承载级的性能可以满足大型企业网络和服务提供商的需要。作为世界领先的Cisco Secure PIX防火墙系列的组成部分，PIX 535能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。该防火墙将静态防火墙和IP安全（IPSec）虚拟专网（VPN）功能与千兆位以太网吞吐量灵活地结合在一起。

PIX 535能够提供空前保护能力的通用防火墙设备。它与PIX操作系统（OS）紧密集成在一起，该操作系统是一种消除了安全漏洞和性能退化开销的专用固化系统。PIX535防火墙的核心是基于自适应安全算法（ASA）的一种保护机制，它可以提供面向静态连接的防火墙功能，能够进行50万个同时连接，并同时防止常见的拒绝服务（DoS）攻击。

另外，PIX 535还是一种能够通过公网安全传输数据的全功能VPN网关，它支持使用56位数据加密标准（DES）或168位3DES对VPN应用进行站点到站点和远程访问。PIX 535的集成VPN功能可以得到VPN加速卡（VAC）选件的支持，能够提供100 Mbps的吞吐量和2000个IPSec隧道。

高可用性通过部署一个冗余的热备用单元来实现，该故障切换选件通过自动静态同步维护了同时连接。这保证了即使是在系统故障情况下，也能够维护对话，并且保证切换过程对网络用户而言是透明地完成。另外，PIX 535还允许您向交流或直流型号添加可选的冗余、热插拔电源，使其成为一种真正的容错安全设备。

锐捷网络 RG-WALL 1000防火墙

（参考价：276000元）

RG-WALL 1000采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能，最大并发连接数达到2000000 ，网络吞吐量高达3000 Mpps；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。

采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。

RG-WALL 1000接口类型为固化2个10/100BaseT+2个10/100/1000BaseT接口，可选配最多4个千兆电口/千兆SX/LX光口。主要功能包括：扩展的状态检测功能、防范入侵及其它（如URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计/报告等）附加功能。

天融信 NGFW4000-UF 防火墙

（参考价：358000元）

天融信公司的网络卫士（NetGuard）防火墙系列产品历经十年发展，荣获了多个奖项，是实时网络防护系统的最佳选择。NGFW4000-UF 系列是网络卫士系列防火墙的高端产品，是集成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等多功能的综合性网关产品，具有高性能、高可靠性、高安全性的特点，普遍适用于银行、电信、教育等大型网络系统，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS（Topsec Operating System），并采用模块化结构设计，既提高了产品性能，又提高了产品的灵活性、高效性和安全性。采用了多级过滤措施，以基于OS内核的核检测技术为核心，提供从链路层到应用层的全面安全控制。面向资源的设计、全新的物理实现和专用的通信协议，支持高达100000条以上的并发连接，吞吐能力达到1000Mbps以上。

支持可扩展方案邮件病毒及网络文件病毒过滤解决TOPSEC AV。该方案采用基于透明代理和深度数据包检测(DPI) 的技术，在企业局域网边界处对常用的应用层协议（SMTP、POP3、HTTP、FTP）数据流进行过滤处理。用户不需要更改网络结构和客户端计算机的参数设置，只需要在网关防火墙处插入TOPSEC AV，即可对通过的数据进行在线过滤。它对流经防火墙的网络数据内容进行安全检查。为用户提供简便有效的病毒过滤功能，防止电脑病毒以及恶性程序的入侵。

清华得实 NetST3000 防火墙

（参考价：448000元）

清华得实NetST紫荆盾系列防火墙是清华同方安全开发的具有自主知识产权的网络安全防护产品。经过多年努力，NetST系列防火墙产品在技术上取得了重大突破，采用先进的软硬件体系结构，利用先进的内核检测技术、防火墙技术、VPN技术、高可用性技术、入侵检测技术和内容过滤技术等，将高速的网络性能、高度的安全性能与简单易用的特点有机地结合在一起，是一套全面、高安全性、高性能、高可用性的网络安全防护系统。该产品经国内专家鉴定，其多项指标已经达到国际先进水平。

清华得实 NetST3000适用中大型网络环境，具有优异的网络性能和良好的扩展性。产品采用独创的内核检测技术，即基于操作系统内核的会话检测技术，在操作系统内核实现对应用层的访问控制。Syn代理技术防止Dos、D-Dos攻击，对常见病毒有强大得防护能力，可根据需要有效地防止木马软件以及QQ，BT等软件。

支持802.1Q VLAN、SNMP网管协议、DHCP协议，GRE、IPSEC、PPTP……支持Tcp/Ip协议簇的各种协议。拥有超级的内容过滤功能，提供对可能的危险信息或容易挤占网络带宽的数据的过滤。支持对VPN通信的安全控制，支持带宽流量管理，可以有效的对用户进行带宽流量控制。

高保密VPN功能，具有完善的VPN功能，提供对IPSEC、L2TP，PPTP的支持，并支持NAT的穿越和桥模式下的VPN。同时拥有简单、安全的管理功能，提供了本地管理和远程管理两种方式。强大的安全性和扩展功能，可以满足酒店，医院等大型网络部署的需求。 #p#分页标题#e#

本文所推介的四款高性能硬件防火墙是针对大型网络部署的网络安全设备。此外，在做好硬件防火墙的部署之外，网络内部也必须安装软件防火墙，确保准确高效的防护性能，硬件防火墙与软件防火墙的冗余调度才是理想的解决方案。

{{cmoun}}人已赞

评论 {{userinfo.comments}}