[研究]推薦三款企業級防火牆

與Network相關的討論區.

版主: E-Office小組

分享到: Facebook

[研究]推薦三款企業級防火牆

文章function1122 » 週一 12月 05, 2005 10:50 pm

以下介紹三款防火牆:
(一)首先登場的是台灣第一品牌的Netstealth防火牆
NS-1020
• 專屬研發安全強化之StealthOS, 不必另外安裝任何作業系統, 沒有安全漏洞, 提高安全及整體效能, 真正的硬體防火牆.
• 具備兩個10/100/1000 Giga Tx網路介面, 可擴充至四個Giga Tx網路介面, 支援GBIC模組, 可轉換為TX, SX或LX光纖介面.
• 專利匿蹤機制使防火牆完全無需設定IP便可運作, 並可同時啟動Transparent Mode及Routing Mode, 包含內部網路及DMZ區所防護的主機, 皆能藉由匿蹤機制的保護, 讓駭客無從下手.
• 具備頻寬控管功能, 可限制單一IP或群組的最高頻寬及傳輸延遲時間.
• 使用繁體, 簡體, 英文Web瀏覽器操作管理介面, 支援Java及PHP, 具遠端控管功能, 連線時採用128 bit SSL加密傳輸及密碼驗證, 提供方便安全的操控方式.
• 具備網路轉址NAT(Network Address Translation)及PAT(Port Address Translation)功能.
• 內建DNS Proxy網路服務, 簡化內部網路架設, 並支援URL Blocking功能.
• 支援SNMP網管協定, 可將防火牆即時資訊提供給MRTG或其他網管軟體作即時統計.
• 內建DHCP功能, 提供動態IP分配, 並可將動態取得的IP與MAC Address綁定, 同時支援DHCP Radius認證功能.
• 內含統計, 記錄, 分析工具, 工具程式可在Windows平台執行, 無使用人數限制, 不須額外購買軟體授權.
• 具備智慧型記錄統計功能, 在記錄方面, 詳細記錄所有不當連線, 可針對入侵時間, IP來源, 入侵模式等資料並即時以E-mail傳送通知網管人員.
• 可用Web遠端監視即時流量, 包含正在使用網路之電腦, 主機使用頻寬排行(Top 100)等資訊, 並保留一個月(30天)的流量統計;統計內容包含主機名稱, IP, 流量, 網路使用率(提供百分比資料), 連線性質(TCP/UDP/ICMP), 連線服務(WWW/MAIL/FTP/Telnet/DHCP/NetBIOS/SNMP/SSH/eDonkey/Messenger/NFS等.
• 內含專屬資料庫(LogServer), 提供即時統計記錄之功能, 包括長條, 圓餅等統計圖型.
• 支援雙機備援架構(High Availability), 當主防火牆無法正常工作時, 備援機能在十秒內自動接替工作, 恢復網路通暢, 安全防護不間斷.
• 提供完全相容於Microsoft Windows PPTP VPN, 無需另外安裝VPN Client程式, 可直接利用Windows所提供的PPTP Client, 快速簡單的建立虛擬私人網路.
• 認證完整, 惟有真正的防火牆設計廠商才能加入ICSA Membership, 同時經過美國ICSA及大陸公安部門MCTC認證過的NetStealth防火牆, 才能保證網路安全.

看看專家怎麼說
fongwen 寫:小弟在這裡推薦一家國內廠商~~
這家廠商蠻特殊的~~小弟就是買他們ㄉ~~
用過之後~~
效能很好~穩定度也不錯~價格公道~重點是他們研發新功能速度超快~~
我常常都會去他們ㄉ工程網站~~常有新韌體可供更新~~
一更新就多好幾項功能~~
當時我就測這三家的防火牆~~
測一測之後~~我是選擇這家目前號稱國內第一的防火牆廠商啦~~^^
這家廠商最特別ㄉ技術就是
他是隱形ㄉ防火牆~~他ㄉ防火牆根本不用ip,也可以吃假ip,很神奇~~
當我打開匿蹤功能時~~連他們ㄉ工程師都找不到這台機器~~^^
還有他們可以同時做nat和透通~~這也是超強~~
這些都是另外兩家所做不到ㄉ~~
反正~~這家不錯~可以考慮~~
推薦ㄉ型號:NS-1020
這台機器似乎台大計中交大計中都使用~~蠻強ㄉ~~
之前聽他們ㄉ業務簡報時~~
還貼ㄌ幾張當初在交大宿網實機所跑出來ㄉMRTG圖~~
超恐怖ㄉ~~
平均都五六百M,峰值更衝到七百二以上~~
親眼所見~~但是我絕ㄉ恐怖ㄉ不只是機器~~
交大ㄉ學生到底晚上都在幹麻阿~~@@"

alvin723946 寫:所以我要說的是我並不是一位非常有閒,事情很少,技術很高的MIS,我只是一般的MIS,我希望買到的東西是既便宜,功能又強,操作又方便,重要的是廠商後續服務要好,這對我比較有實質上的幫助!!
至少要我選擇洋東西根土產的,我倒很願意給國人機會!!
所以這位大大您應該去找像景文,育達這種超有錢的學校計中當MIS,這樣才有錢讓你花,讓你表現你的水準,因為連台大,交大這兩間指標性的學校計中都是使用她們的防火牆,你在這裡說人家怎樣怎樣!!!笑掉人家大牙!!
試問你有認真去完過她們的F/W嗎??
我買了一年多,完的也算很熟了,她們的防火牆設規則優點在哪你知道嗎??
告訴你,你就算把防火牆顛倒過來設都可以,這代表如果你是高手,你是PRO級的玩家,你就會把他簡單的設定介面玩得很複雜


(二)接下來登場的是來自韓國的Fortinet
FortiGate 1000
• Comprehensive security solution combines network-based
antivirus, web content filtering, firewall, VPN, dynamic intrusion
detection and prevention, traffic shaping, and anti-spam
• Eliminate viruses and worms from email file transfer, and realtime
(Web) traffic without degrading network performance
• Provides granular security with independent security zones
and policies mapped to VLAN tags
• Reduces exposure to threats by detecting and preventing over
1300 different intrusions, including DoS and DDoS attacks
• High availability option supports transparent failover for
mission-critical applications
• Gigabit-level performance allows cost-effective deployment in
enterprise networks
R E A L T I M E N E T W O R K P R O T E C T I O N
• Delivers superior performance and reliability from hardware
accelerated, ASIC-based architecture
• Automatically downloads the latest virus and attack database
and can accept instant “push” updates from the FortiProtect
Network
• Underlying FortiOS™ operating system is ICSA-certified for
Antivirus, Firewall, IPSec VPN and Intrusion Detection
• Easy to use and deploy – quick and easy configuration wizard
walks administrators through initial setup with graphical user
interface
• Virus quarantine enables easy submission of attack samples to
the Fortinet Threat Response Team

看看專家怎麼說
u8526425-1 寫:fortinet的東西看起來不錯
聽說...
是open source的元老跳出來做的產品
也有之前symantic, Kaspersky的團隊跳槽進去
功能是我看過最完整的 (中低階)

ccm 寫:目前我們公司是用400型的
有開anti-virus(SMTP) IDS FILE-BLOCK功能
session一般都只有1~300個 cpu都只有1~5%
但是ram吃的比較兇 40~60(256Mb)
web filter mail-filter vpn都沒開
它的ANTI-SPAM沒什麼用
防毒更新還蠻快的

dk 寫:本身用Fortigate-1000型的,到目前的觀點:人機介面有待加強,在正確的設定下效能很不錯,改版快速,彈性很大,但可能會有前後幅度大到所有設定需全部重設,log及格式目前最弱

fongwen 寫:這個品牌的機器說真的~~還不錯~
但是有幾點要特別注意~~

規格過度誇大其詞~~他一直強調他的效能好~~整合功能多~~且完整~~
但是若是各位把多一點功能打開~~
尤其是防毒~和網頁內容過濾這部份打開的話~~
這台機器可能會掛掉~~@@"
所以說若是要買FORTIGATE的產品~~就不能買得剛剛好~因為最佳效能~~跟設定規則之後所表現出來的效能差太多了!!


(三)最後是資安界赫赫有名的Juniper
Netscreen 500
• 集成安全系統,提供安全性優化的硬體、作業系統和應用,安全級別高於基於軟體的解決方案
• 全面的高可用性解決方案,可在一秒內實現介面間或設備間的故障切換
• 全網狀配置,允許在網路中提供冗餘的物理路徑,從而提供最高的故障恢復功能和最長的正常運行時間
• 虛擬系統支援,允許將系統分隔為多個安全域,每個域都有自己的管理員、策略、VPN和地址簿
• 介面靈活性,可滿足不斷變化的網路連接要求和未來增長要求
• 虛擬路由器支援,可將內部、專用或重疊的IP位址映射到全新的IP地址,提供到最終目的地的備用路由,且不被公眾看到
• 可定制的安全區,能夠提高介面密度,無需增加硬體開銷、降低策略制訂成本、限制未授權用戶接入與攻擊、簡化VPN管理
• 冗餘VPN閘道,允許在丟失VPN連接的情況下定義備用隧道,從而提高VPN網路的冗餘級別
• 在每個介面上提供防火牆攻擊防護,保護內外部網路的安全
• 透明模式,允許設備作為第2層IP安全網橋運行,提供防火牆、VPN和DoS防護功能,但只需對現有網路進行最少的改變
• 通過圖形Web UI、CLI或NetScreen-Security Manager集中管理系統進行管理
• 基於策略的管理,用於進行集中的端到端生命週期管理
• 面向所有GPRS特性的基於策略的GTP實施
• 支援1997和1999 版GTP協定
• 全面支援所有的GPRS介面
• 能夠將多個介面結合到一個設備中(Gn、Gp、Ga、Gi)
• 惡意攻擊防護,如過多計費防護
• 支援IPSec、L2TP和802.1q VLAN,以從邏輯上分隔運營商網路和外部網路連接,以實施安全策略

看看專家怎麼說
sctchn 寫:本人在SI公司服務,裝過不下百台的企業級防火牆(PIX, CheckPoint, Fortinet, Netscreen, SonicWall, WebGuard, GNATBox...),建議國產的最好不要考慮(被罵怕了),可以選擇Netscreen或Fortinet,容易上手、效能高、超穩又不會當機。

dick2720 寫:firewall 可以使用
Netscren 500
Fortigat 800或 1000


結論
感覺起來雖然國產Netstealth好像不錯,可是評價差異很大,讓人看了怕怕的,除非先試用過後,才可能去考慮購買。而Fortigate也蠻多人認為他實際的負載量和標示有所出入,雖然呼聲很高,但我覺得這也是挺嚴重的問題。感覺最穩的還是資安大廠Juniper的Netscreen系列,在很多地方都受到好評,雖然想必他的價錢應該不低(目前還沒有查到),所以我認為假如要試用的話,從Netscreem下手是不錯的選擇。
注:以上的評論主要是從資安論壇找的,專家也是資安論壇的註冊用戶。至於相關規格請見代理廠商。
FUNction said: "這是我想到什麼就寫什麼的記事本,所以內容多不具任何樂趣,因為我的生活無趣嘛"
FUNction's Blog 無趣隨筆
頭像
function1122
E-Office 小組
 
文章: 431
註冊時間: 週日 3月 27, 2005 3:40 pm

Re:[研究]推薦三款企業級防火牆

文章Itemx » 週二 12月 06, 2005 2:09 am

額外補充

目前我們系上採用Fortigate當作eMail主機前面的防火牆..

效果中等的感覺, 也可能是沒有功能全開的緣故..
Connecting .................. [ OK ]
User Identify .................. [ Itemx ]
Also Locate a blog: [FLAK #0 Active Log]
頭像
Itemx
站長群
 
文章: 659
註冊時間: 週四 3月 25, 2004 1:06 am
來自: FLAK第三憐合回線

Re:[研究]推薦三款企業級防火牆

文章lina7inverse » 週三 12月 07, 2005 9:20 pm

因為相關的資料上面都有了~
所以我就把我找到但上面沒有的貼出來囉~
如下云云:


本人在SI公司服務,裝過不下百台的企業級防火牆(PIX, CheckPoint, Fortinet, Netscreen, SonicWall, WebGuard, GNATBox...),建議國產的最好不要考慮(被罵怕了),可以選擇Netscreen或Fortinet,容易上手、效能高、超穩又不會當機。


If you want one really works and learn something.
For SOHO CISCO PIX 501 or 506E ,Netscreen 5XT/XP are good choice.
For Small business CISCO PIX 515E 520, Netscreen 25,50,100


我建議你去買 NetScreen 5XP or 5XT
買 5XP 你自己需要在買 HUB
買 5XT 它有內建的 HUB , Port 數好像 4 Port(不確定)
如果你內部所有電腦 同時連線 的數量不超過 10 台的話 , 買 10 個人的 License 就可以了
這台功能不錯....價位也還可以 2 萬以內應該買的到
支援 Web-Base Admin 或 Command Line Admin


眾至..FW-2180推薦一下...不錯


PostScript:ShareTech FW-2180

結論:

以上的內容都是針對中小企業的硬體防火牆,
大家都推薦的就如 WayDoctor 所說一樣是 Netscreen,
其次便是 Fortinet 和 Cisco 了。
(Cisco 參考資料:http://www.cisco.com/global/TW/,不過聽說頗貴.......)
在這個由各式各樣的人的期望
所造成的世界裡
我們抱著各自不同的理由
朝著各自希望的道路前進
頭像
lina7inverse
E-Office 小組
 
文章: 270
註冊時間: 週六 3月 26, 2005 1:57 pm
來自: 奇幻協會自治城

Re:[研究]推薦三款企業級防火牆

文章Itemx » 週四 12月 08, 2005 10:47 am

lina7inverse 寫:(Cisco 參考資料:http://www.cisco.com/global/TW/,不過聽說頗貴.......)[/color]


Cisco要便宜的話, 就必須由持有CCNA一類證照的人去弄...

會打折
Connecting .................. [ OK ]
User Identify .................. [ Itemx ]
Also Locate a blog: [FLAK #0 Active Log]
頭像
Itemx
站長群
 
文章: 659
註冊時間: 週四 3月 25, 2004 1:06 am
來自: FLAK第三憐合回線

Re:[研究]推薦三款企業級防火牆

文章Margay » 週一 4月 28, 2008 2:42 pm

Itemx 寫:
lina7inverse 寫:(Cisco 參考資料:http://www.cisco.com/global/TW/,不過聽說頗貴.......)[/color]


Cisco要便宜的話, 就必須由持有CCNA一類證照的人去弄...

會打折


你這句話是有問題的

價格完全由原廠業務決定,很多案子是否由哪家SI得標,往往會跟原廠業務報給SI價格而定
IM 10A 儒賢 是也
Margay
問題很多的小學生
 
文章: 12
註冊時間: 週五 4月 25, 2008 10:04 am
來自: 貓的故鄉


回到 Network 討論版

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 0 位訪客

cron