七款企业级应用的防火墙产品评测

　　NetScreen 科技的 NetScreen-100

　　和Cisco的PIX类似，NetScreen-100也运行专有操作系统。与运行在Intel平台上的PIX不同，NetScreen使用专有ASIC构成高性能防火墙，价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后，我们就可以通过Netscape或者微软的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall-1比NetScreen-100性能高，如果运行NAT，NetScreen的性能不会降低，因而比FireWall-1的性能要好。

　　NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能，防火墙内的任何主机或者路由器可以继续使用Internet路由器的网关地址，或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网，也不需要把外部路由器的地址移动到防火墙的内部接口上来，这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。

　　NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上，除了URL过滤和FTP，它没有任何其他比简单的包过滤更强大的功能。

　　用于 Windws NT 的NetGuardian 3.0

　　Guardian是唯一安装在NT平台上的产品，用户界面简捷明了，但是它的访问控制能力仅仅比NetScreen强一点。

　　Guardian在我们测试的产品中是性能最差的一个。当我们把测试结果提交给NetGuard的时候，他们表示了真诚的惊讶。于是我们重新安装软件，重新配置，重新测试，结果没有看到性能有什么改善。NetGuard提议给我们另外一台机器作测试，但是我们已经没有时间做了。我们同意分享NetGuard防火墙在KeyLab的测试结果，KeyLab用的是NetGuard的Firebench产品，吞吐量达到60Mbps，这一结果比我们测出的40Mbps高50%。KeyLab的性能指标是在一台200MHz机器上得出的，我们则是在一台233MHz的机器上测到的。启动NAT之后，NetGuard的产品的性能显著下降。根据我们的测试，Guardian可以在启动NAT的情况下毫无问题地支持T1或者10Mbps以太网，但是如果你想在将来也使用它则要小心从事。

　　Guardian的界面和FireWall-1的很类似。我们把网络和主机定义成对象，可以把这些对象添加到列在表格里的过滤规则中去。表格使用简单的图标指示可以执行那些符合规则流量的动作。尽管Guardian并不是FireWall-1，我们同样觉得它也很容易定义规则。用户界面可以运行在任何NT或者95/98机器上，而且可以轻松地远程管理运行防火墙引擎的NT机器。

　　Guardian的访问控制功能相当不完善，尽管比NetScreen-100好一些，它也只是停留在基于IP地址和端口号的简单访问控制的水平上。它还是唯一不具有IPSec兼容VPN能力的产品。NetGurad的独特功能是具有监视非法telnet登录企图的能力。