1. 开始前的声明首先,本人在资源方面即没有netscreen,也没有checkpoint,更没有smartbits之类的测试设备,以下的内容均是本人翻遍netscreen和checkpoint网站,同时结合网络上搜集的资料中分析得出的结果,因此不可避免会有不当之处,这些地方欢迎各位资深人士指出,以便本人进一步修正和完善本文档。 其次,本文不是讲如何安装配置这些产品的,这些东西是“熟练工人“做的事情。 最后,本文对产品的各种评价均为个人看法,任何意见,非常欢迎讨论。
2. 为什么会有这么一篇文章: 相对于其他安全产品,防火墙在网络的应用中要普遍的多,同时在安全市场上也是相对要成熟的技术。但是留心的人很容易注意到,目前防火墙的宣传很乱,各家厂商都在鼓吹自己的产品,诋毁对手的产品,他们每家都可以列出来一串串的单子,宣称在某某功能超出对手。这种例子比比皆是;与此同时,很多媒体和评测机构(国外国内均是如此)也抛出了一些不负责任的所谓公平的评测报告。更给大家带来困惑。本文力图按照个人理解的一些东西来描述这两种系统。
3. 架构 首先我们来看防火墙的架构,这包括两个方面,软件和硬件两部分。也就是防火墙运行在什么软件系统上以及防火墙安装的硬件平台。 架构是防火墙的骨骼,他决定了防火墙整体的工作水平和潜能。一般而言,我们可以把常见的防火墙分为基与硬件和基于软件的两类。 基于硬件的防火墙硬件方面一般是采用专门设计的实现防火墙必要功能的ASIC,NP架构等量身定制的硬件,供防火墙跑的操作系统也是专门设计的。 而基于软件的防火墙硬件方面一般采用通用架构的pc硬件,操作系统也因此采用的多是基于unix系列或者nt系列的通用操作系统。 这里面checkpoint可以归类为基于软件的防火墙,而netscreen则是基于硬件的。 两种架构的描述: 性能: netscreen没有采用传统的工业架构布局,而是使用的是独立研发体系结构,包括netscreen专用的screenos操作系统和为实现防火墙功能而特别设计的ASIC芯片(这包括从低端的netscreen5,10的采用的megascreen芯片到高端的netscreen 500,5000等使用的Gigascreen芯片),它们与RISC处理器等设备紧密集成,为客户提供专用的防火墙的各项功能。 由于netscreen防火墙设计上就是为了完成必要的防火墙工作,同时对数据包的访问控制,加密,地址转换等工作是通过上述专门的硬件来实现的,这就从结构上非常好的避免了传统的基于工业架构的软件防火墙不是专门为了防火墙设计,极大的依赖cpu,同时总线带宽受限制等重大的弊病,从这一点来看,理论上对防火墙的要求越高,netscreen体现的价值就越大。 在netscreen的站点上,关于防火墙的白页宣称它的高端netscreen 5400,在操作系统screenos版本为3.0防火墙时防火墙的通透性可以达到12Gbps之高(vpn可达6Gbps)-这是本人所了解的性能最高的防火墙。 checkpoint防火墙本身是一套软件,而基于软件的checkpoint防火墙本质上从操作系统到硬件架构都是使用的通用的系统,因此尽管软件本身可能已经尽可能的得到了优化,但受架构的局限,性能在理论上先天不足。 Checkpoint为了解决这个问题,相继推出了软硬件的加速方案,这些方案主要功能是一致的:一方面包括将数据包的访问控制,加解密,地址翻译等非常消耗系统资源的工作从cpu转移到专门的插卡来处理,减小cpu负荷,另外一方面通过优化软件对数据的处理层次,将本来在高层的处理工作向下放,向硬件层次靠拢。通过上述两个方面,从而实现减少承载它的系统的压力,改进提升系统性能的目的。我们可以看到的SecureXL,checkpoint Performance Pack,VPN-1 Accelerator Card以及和Corrent公司,Nortel等公司合作推出的各种加速卡,都是这一思想的产物。 从checkpoint的站点上得到的资源来看,这些解决方案的效果还是比较理想的。在checkpoint的高端产品上(如和Bivio合作推出的1000s平台上的防火墙性能可达4.0 Gbps,在64byte小包上也可达到3.2 Gbps的通透性)。 此外根据checkpoint公布的资料来看,在这个月checkpoint自己的测试中,使用了5月13宣称的新技术Application Integlligence后,性能在原来的基础上进一步提升了31%。 稳定性兼容性: 由于netscreen采用的专门的软硬件,因此系统的稳定性上理论上应该领先,同时由于防火墙操作系统是专用的screenos,不存在防火墙和硬件的兼容性问题。 而checkpoint使用的优化和定制后的操作系统和硬件,但是由于防火墙需要运行在通用的操作系统和硬件之上,而这些操作系统和硬件不是特定为防火墙各项功能设计的,因此可能会存在稳定性和兼容方面的隐患。 功能和灵活性: netscreen采用的专门设计的操作系统和硬件架构,决定了灵活性上要相对差一些,而且可能提供的功能相对较少。 比如早期为很多人诟病的高版本的screenos操作系统无法使用在早期的硬件平台上,从保护投资的角度上是很难为客户所接受的。 又如netscreen的策略数目是有限的,如果用完了访问控制策略,如果要新增新的策略,那么必须去掉已经配置好的某些策略。 此外对硬件的依赖决定了很难扩充新的功能模块,防火墙从购买之日起能提供的功能就基本上不会有太多的改变了,客户买了某种型号的防火墙后可能无法期待后期的重大升级。 而Checkpoint由于架构不依赖硬件,因此理论上功能是可以无限扩充的,它能给客户更多的控制和定制功能。 防火墙所在系统安全更新 netscreen这种基于硬件的防火墙由于采用专用的screenos操作系统,安全问题暴露很少,需要打安全patch的必要性小。
上一篇:黑客工具巧利用Iris来查找蠕虫病毒
下一篇:Linux下的主要的C语言编译器
|
精品推荐