全方位讲解硬件防火墙的选择(4)

　　网络地址转换：网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

　　堡垒主机：一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

　　二、市场上常见的硬件防火墙

　　（1）NetScreen 208 Firewall

　　NetScreen科技公司推出的NetScreen防火墙产品是一种新型的网络安全硬件产品。NetScreen采用内置的ASIC技术，其安全设备具有低延时、高效的IPSec加密和防火墙功能，可以无缝地部署到任何网络。设备安装和操控也是非常容易，可以通过多种管理界面包括内置的WebUI界面、命令行界面或NetScreen中央管理方案进行管理。NetScreen将所有功能集成于单一硬件产品中，它不仅易于安装和管理，而且能够提供更高可靠性和安全性。由于NetScreen设备没有其它品牌产品对硬盘驱动器所存在的稳定性问题，所以它是对在线时间要求极高的用户的最佳方案。采用NetScreen设备，只需要对防火墙、VPN和流量管理功能进行配置和管理，减省了配置另外的硬件和复杂性操作系统的需要。这个做法缩短了安装和管理的时间，并在防范安全漏洞的工作上，省略设置的步骤。NetScreen-100 Firewall比适合中型企业的网络安全需求。

　　（2）Cisco Secure PIX 515-E Firewall

　　Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施。Cisco Secure PIX 515-E防火墙系通过端到端安全服务的有机组合，提供了很高的安全性。适合那些仅需要与自己企业网进行双向通信的远程站点，或由企业网在自己的企业防火墙上提供所有的Web服务的情况。Cisco Secure PIX 515-E与普通的CPU密集型专用代理服务器(对应用级的每一个数据包都要进行大量处理)不同，Cisco Secure PIX 515-E防火墙采用非UNIX、安全、实时的内置系统。可提供扩展和重新配置IP网络的特性，同时不会引起IP地址短缺问题。NAT既可利用现有IP地址，也可利用Internet指定号码机构[IANA]预留池[RFC.1918]规定的地址来实现这一特性。Cisco Secure PIX 515-E还可根据需要有选择性地允许地址是否进行转化。CISCO保证NAT将同所有其它的PIX防火墙特性(如多媒体应用支持)共同工作。Cisco Secure PIX 515-E Firewall比适合中小型企业的网络安全需求。