| 出版日期:2002-03-11 总期号:1099 本年期号:16 |
|
 |
性能突出 安全性好
何军 联想网御2000 FW P防火墙工作在透明桥接模式,其简洁直观的Web界面、多种安全认证机制,网关级实时查杀病毒和透明代理功能,以及良好的性能和抗攻击能力,为用户提供完整的信息安全解决方案。 随着企业信息化的发展,企业信息存在着许多不安全因素,使得信息安全被提上了重要的议事日程。而解决信息安全问题,目前最常用的是在网络中加入防火墙。 联想集团为解决企业信息化的安全问题,自主开发了联想网御2000 FW P防火墙,它采用服务器版的硬件设备及优化的软件系统。 为了较全面评测此款产品,我们从管理测试、功能测试、性能测试及抗攻击能力等四方面进行了测试。在测试过程中,联想网御2000 FW P防火墙通过了赛迪评测的所有测试项目。 管理系统完善 用户要使用一个安全的防火墙系统,就需要实行安全的防火墙策略。而这一策略的实现,主要取决于防火墙本身的易管理性、认证加密的程度以及日志审计的完整性,这些方面在一定程度上决定了防火墙管理功能的强弱。
联想网御2000 FW P防火墙管理功能比较强大。它采用Web界面管理的方式,管理界面较友好,使得管理相对容易。在分级管理上,区分超级管理员和普通管理员两级,使一台防火墙可实现多人管理,减轻了管理负担。 在认证方面,采用一次性口令认证,并结合管理员身份认证、客户机认证等, 另外还支持RADIUS远程管理员身份认证。这种多种认证机制,能有效保证管理数据流以密文形式在网络中传输,从而提高网络的安全性。 此外,联想网御2000 FW P防火墙的日志审计功能较为完整,审计策略较为合理。在日志输出方式上,支持专用日志服务器。通过日志服务器来接受防火墙日志内容,同时,管理员在查看日志时,可设定审计查询规则,系统会自动分析并进行扫描处理,生成HTML等格式的日志文件。这种日志审计形式,有效防止了日志的覆盖和丢失,便于管理员查看和处理,为事故分析及故障后的防火墙重建提供重要依据。 功能特色鲜明 联想网御2000 FW P防火墙工作在透明桥接模式,实现了防火墙无IP地址等特性,特别对于网络规模较大或需要改变网络拓扑时,使用这种透明桥接防火墙能够使整个网络结构不发生变化,因为内部网络的网关是指向路由器而不是防火墙,防火墙的工作模式是透明的。 在功能模块中,包括透明代理、负载均衡、 IP/MAC绑定防IP欺骗、双向DNS域名解析功能、动态规则自动生成功能、流量计费控制功能、入侵检测功能、双向NAT实现地址和端口转换功能、内容过滤、状态检测、双机热备份功能以及防病毒功能等,但最具有特色的模块是透明代理和防病毒功能。 透明代理 透明代理和普通代理最大的区别在于防火墙启用代理功能时,用户子网内的客户机使用代理功能时不用做任何配置,而普通代理则需要进行客户端设置。例如,内部网络访问外部网络时,普通代理需要在客户端进行代理设置,而使用了透明代理功能,客户端则不用做任何代理设置,这使用户使用较为方便。 
图1 透明代理功能配置界面 在透明代理测试中 ,联想网御2000 FW P防火墙的透明代理除支持HTTP外,还支持FTP、TELNET等协议,同时我们还选择通用透明代理,进行了自定义限制,例如设置OICQ服务等。在FTP中,用户还可以对GET、PUT等命令进行设置。对邮件内容过滤能达到对邮件内容、邮件附件进行智能文本过滤。图1是启用透明代理功能的配置界面。 实时查杀病毒很方便 2001年,随着FUNLOVE、尼姆达等病毒的泛滥,许多用户蒙受了一定损失,因此防火墙若具备实时查杀病毒功能,不但能够为用户节省一定的费用,而且可在网络出口处拒病毒于门外。 联想网御2000 FW P防火墙在功能设计上的另一个突出特点是提供了网关级防病毒功能,可实时查杀病毒,并可对HTTP、FTP、SMTP协议进行选择,在检测时,支持*.com、*.exe等多种压缩格式。它能够对包括过滤WWW浏览、过滤收发邮件、FTP传输文件时可能包含的各种病毒进行实时查杀病毒。在检测到病毒时,向管理员发报警邮件。同时提供了病毒代码更新,可手动更新或自动更新,提供在线升级更新功能。在测试中,由于病毒库样本日新月异,因此我们对此项没有做更完整的测试,在此不做更多的评述。 性能突出 防火墙作为网络的必经通道,往往会成为网络新的瓶颈。例如在许多应用领域,企业需要对外提供如Web服务、DNS域名解析等服务,这些应用会使网络流量不断变化,就需要性能指标良好的防火墙。联想网御2000 FW P防火墙在性能测试中,各项指标表现较为突出,其中,TCP最大并发连接数在只建连接不发数据时的最大并发连接数为39.9761万个,接近40万;在吞吐量下的丢包率全部为0;数据延迟约为35.2微秒;在多条规则下,联想网御2000 FW P防火墙各数据帧的吞吐量表现也较为突出,数据见图2所示。它的各项性能指标表明,能够满足行业用户和中小型用户网络环境的应用需求。 
图2 吞吐量曲线 抗DoS攻击良好 DoS(Denial of Service)攻击形形色色,手段也层出不穷。我们这次攻击测试只进行了syn flood、smurf attack、Ping of death、teardrop attack、land-based attack、ping sweep、ping flood等7种攻击测试,测试时,使用SmartBits进行发送攻击数据流,以此来判断防火墙是否可以挡住各类攻击。联想网御2000 FW P防火墙测试结果见表1。由测试结果可以看出,联想网御2000 FW P防火墙完全阻挡了这7种攻击,使攻击数据包的通过率为0,这表明联想网御2000 FW P防火墙对发送的攻击数据包具有良好的检测和判断机制,并能生成相应策略丢弃这些数据包,即具有较强的抗DoS攻击的能力,自身安全性良好。 
图3 联想网御2000 FW P防火墙 总体来讲,联想网御2000 FW P防火墙提供了较突出的安全管理和比较完善的功能,在技术上采用透明代理功能和完整的内容过滤,是安全性较好是一款较高端的防火墙产品。 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
