6.5.1國內主流防火牆

1.天融信防火牆

天融信網絡衛士防火牆（NGFW）解決方案是TOPSEC安全體係的核心，是TOPSEC端-端整體解決方案的實現和組成部分，是業界最優秀的防火牆解決方案。它為用戶提供的不僅僅是安全設備，更重要的是能為用戶提供一個安全的、可擴展的安全體係平台，方便用戶擴展VPN、IDS等安全應用，從而構建完整的安全防範體係。

目前天融信防火牆解決方案中包括網絡衛士ARES4000、4000UF、4000UF-G和4000UF-V-G係列防火牆產品。

2.東軟網眼防火牆

東軟網眼（NetEye）防火牆擁有創新的高性能核心保護能力，即基於狀態包過濾的流過濾架構。流過濾結構綜合了狀態包過濾和應用代理技術各自的技術優點，因而非常容易部署。流過濾技術提供了更好的針對應用層協議的保護，而且在性能、擴展性和透明部署等方麵具有諸多優勢。集成的VPN功能，簡單、人性化的虛擬通道設置，有效提高了VPN的部署靈活性、可擴展性，大降低了部署、維護的成本，完善的VPN產品線，適合於大規模的網絡部署。

東軟網眼防火牆目前百兆防火牆產品有4010、4016和4032係列；千兆防火牆產品有4120和4200係列。

3.方正防火牆

方正防火牆是方正信息安全技術有限公司的防火牆。產品有FG係列防火牆和FS係列防火牆。FG係列防火牆采用新一代數據流檢測技術，具有智能IP識別2—7層的安全防護。當今的網絡邊界安全設備，已經從初期的三層協議安全網關向2—7層全麵的安全網關方向發展，並且要有強大的性能作為支撐。為了支持這樣新的發展趨勢，方正采用先進的內核高度算法、零拷貝流分析算法和快速搜索算法實現高效的數據應用分類和規則快速定位；再通過將其與狀態檢測技術相結合，對會話進行訪問控製，做到了針對多元化應用進行有效的訪問控製的同時，保持了高速的網絡數據檢測效率，為2—7層網絡協議和應用提供了強有力的支撐。FS係列防火牆是一種基於硬件的專業安全係統。它不僅可以保護物理設備和內部安全信息，而且還提供了虛擬專用網絡（VPN）。它盡可能地減少由於添加了安全設備而給網絡速度造成的影響。議政防火牆產品能為各種規模的客戶提供全麵、實時的安全防禦，支持線速網絡流量，滿足從遠程用戶、小型辦公室到企業分支機構、電子商務站點、大型企業總部、電信級網絡服務運營商、數據中心網絡環境的安全需求。

6.5.2國外主流防火牆

1.CheckPointFireWall

CheckPoint公司是開放安全企業互聯聯盟（OPSEC）的組織和倡導者之一，根據IDC的最近統計，其FireWall-1防火牆在市場上占有率上已超過32%，《財富》排名前100的大企業裏近80%選用了CheckPointFireWall-1防火牆。

2.CiscoPIX

CiscoPIX506E防火牆是應用極為廣泛的CiscoPIX506防火牆的增強版本，可以通過一個可靠、強大的安全設備為遠程辦公室和分支機構提供企業級的安全性。CiscoPIX506E防火牆是市場領先的CiscoPIX防火牆係列的一部分，可以通過一個經濟有效的、高性能的解決方案提供豐富的安全功能和強大的遠程管理功能，尤其適用於為遠程/分支機構人口出生率互聯網連接。PIX506E還提供了更高的3DESVPN性能，建於某些應用，性能比PIX506高出70%。

一般說來，一個防火牆係統就是在兩個網絡之間實施的若幹存取控製方法的集合。通常有兩種類型的防火牆，基於網絡層的包過濾防火牆和基於應用層的隔離網絡的代理服務器（proxyserer）。前一種主要是在網絡層根據IP包的源和目的地址及源和目的端口來決定是轉發還是丟棄E包，後一種是在應用層為每一種服務提供一個代理。鑒於這兩種技術都有各自的特點和弊端，因此建設一個具有良好性能的防火牆，應基於拓撲結構的合理選用和防火牆技術的合理配置。

CiscoPIX506E防火牆是基於這兩種技術結合的防火牆。它應用安全算法（AdaptiveSecutAlgorith），將內部主機的地址映射為外部地址，拒絕未經允許的包入境，實現了動態、靜態地址映射，從而有效地屏蔽了內部網絡拓撲結構。通過管道技術，出境訪問列表，有效地控製內、外部各資源的訪問。

可連接四個不同的網絡，每個網絡都可定義一個安全級別，級別低的相對於級別高的總是被視為外部網絡，但最低的必須是全球統一的IP地址。

3.NetScreen

NetScreen硬件防火牆以其優異的性能成為新一代防火牆的標準。它獨有的ASIC設計及獲得專利的係統體係結構，使NetScreen硬件防火牆將高速的性能、最大限度的安全性及簡單易用等特點有機結合在一起，有效地消除了製約傳統軟件類防火牆的性能瓶頸，為企業的重要數據提供了最可靠的安全保障。NetScreen靈活多樣的四種模式配置適用於任何現存的網絡結構，即使在繁重的網絡流量環境下也能確保通信安全可靠。

6.5.3防火牆的選購

防火牆通常是運行在一台單獨計算機之上的一個特別的服務軟件，用來保護由許多台計算機組成的內部網絡，它使企業的網絡規劃清晰明了，它可以識別並屏蔽非法請求，有效防止跨越權限的數據訪問。防火牆既可以是非常簡單的過濾器，也可能是精心配置的網關，但它們的原理是一樣的：都是監測並過濾所有內部網和外部網之間的信息交換。

在市場上，防火牆的售價極為懸殊，從幾萬元到數十萬元，甚至到百萬元。因為各企業用戶使用的安全程度不盡相同，因此廠商所推出的產品也有所區分，甚至有些公司還推出類似模塊化的功能產品，以符合各種不同企業的安全要求。

當一個企業或組織決定采用防火牆來實施保衛自己內部網絡的安全策略之後，下一步要做的事情就是選擇一個安全、實惠、合適的防火牆。那麼麵對種類繁多的防火牆產品，需要考慮的因素有哪些？應該如何進行取舍呢？

1.防火牆基本功能考慮

防火牆係統可以說是網絡的第一道防線，因此一個企業在決定使用防火牆保護內部網絡安全時，它首先需要了解一個防火牆係統應具備的基本功能，這是用戶選擇防火牆產品的依據和前提。一個成功的防火牆產品應該具有下述基本功能：防火牆的設計策略應遵循安全防範的基本原則一一“除非明確允許，否則就禁I”；防火牆本身支持安全策略，而不是添加上去的；如果組織機構的安全策略發生改變，可以加入新的服務；有先進的認證手段或有掛鉤程序，可以安裝先進的認證方法：如果需要，可以運用過濾技術允許和禁止服務；可以使用FTP和Telet等服務代理，以便先進的認證手段可以被安裝和運行在防火牆上：擁有界麵友好、易於編程的IP過濾語言，並可以根據數據包的性質進行包過濾，數據包的性質有目標和源IP地址、協議類型、源和目的TCP/P端口、TCP包的ACK位、出站和入站網絡接口等。