天网防火墙比较分析材料.doc

天网防火墙比较分析材料 天网防火墙与国外产品的比较 国外产品最早在国内市场出现，那时候国内还没有自主开发的防火墙系统，因此市场基本上被国外产品垄断，主要的产品有： Sun公司的Sun Screen EFS CheckPoint公司的FireWall-1 CISCO公司的PIX 比较如下： 国内外防火墙产品比较表 　 Cisco PIX Check Piont Firewall-1 天网防火墙 SunScreen EFS 产品形态 硬件黑盒，但需要额外硬件才能支持 IPSEC 软件，需要昂贵的网络服务器才能运作 硬件黑盒，无需额外硬件 系统，需要昂贵的Ultra Sparc服务器 操作系统 专用操作系统，性能很高，安全性很强 基于NT或Solaris，性能差，安全性低 专用操作系统，性能很高，安全性很强 基于Solaris，性能较高，安全性较好 系统载体 Flash Rom，大幅延长平均故障间隔时间（MTBF），但无法保存网络记录和建立Cache 硬盘，平均故障间隔时间（MTBF）短 Flash RomMTBF），同时可以将网络记录和Cahce输出到硬盘上 硬盘，平均故障间隔时间（MTBF）短 美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能 美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能 中国，具有高安全性的加密模块，价格合理，专门针对国情设计 美国，高安全性加密模块不能出口，价格昂贵，缺少许多适应国情的功能 状态检测分组过滤（Stateful Packet Filter） 支持 支持，同时支持分组过滤（Packet Filter） 网络地址转换(Network Address Translation) 支持 支持 支持，可以与透明代理服务器共用 支持 透明代理服务器 不支持 不支持 支持，并可以与NAT共用，方便的解决在NAT中使用FTP等服务的难题 代理服务器 HTTP FTP SMTP，无Cache HTTP FTP SMTP，无Cache HTTP/FTP，有Cache 不支持 　 Cisco PIX Check Piont Firewall-1 天网防火墙 SunScreen EFS 反向代理服务器 不支持，作为另外的产品(Cache Engine)出售 不支持 支持，可以利用反向代理服务器建立负载分担的Web Server 不支持 双机热备份 支持，提供较强的容错能力 不支持 支持，提供较强的容错能力 不支持 集群处理(Cluster) 不支持 不支持 支持，提供容错、负载分担、热替换功能 不支持 信息过滤 不支持 不支持 支持 不支持 网络黑洞 支持 支持 支持 支持 流量控制 不支持，作为另外的产品出售 不支持、作为另外的产品（Flood Gate-1）出售 IP、不同端口、不同协议、不同流向的数据流做出统计和限制 (Traffic Shaper)出售 不支持，作为另外的产品(Distributed Directorr)出售 (Connection Control)出售 不支持 URL 拦截 支持，但需要与另外一台服务器上的Cisco软件产品一起使用 支持 支持 不支持 管理界面 命令行，参数复杂，英文，Web管理界面需要另外购买 GUI，英文，远程管理模块昂贵 基于文本的菜单（控制口）和基于Web的全中文界面，带有128位SSL和Session功能，保证远程控制的安全 GUIWeb界面，Web界面可用SKIP加密 DMZ） 支持 支持 支持 支持 DoS 、IP Spoofing 防御 支持 支持 支持 支持 快速安装功能 支持 不支持 支持 不支持 2000 年过渡 支持 支持 支持 支持 天网防火墙与国内产品的比较 天网防火墙在国内的主要竞争对手包括有天融信的网络卫士、清华紫光UF3100防火墙和东大阿尔派的网眼防火墙，其它的产品由于资料不全，暂不作比较。 总比较表： 功能 产品 天网 网眼 清华紫光 网络卫士 系统内核 SNOS LINUX LINUX LINUX 路由与网桥混合工作 支持 不支持 不支持 不支持 具有TCP标志位检测功能 支持 不支持 不支持 不支持 千兆网络接口 支持 不支持 不支持 不支持 负载均衡 支持 不支持 支持 不支持 基于以太网的包过滤 支持 支持 支持 支持 信息内容过滤 支持 支持 不支持 不支持 IP和MAC地址绑定 支持 支持 支持 支持 全息日志记录 支持 支持 支持 支持 网络应用的访问控制 支持 支持 支持 支持 防止DOS攻击 支持 不支持 不支持 不支持 虚拟专用网（VPN） 支持 不支持 支持 支持 实