4. NAI Gauntlet

　　Gauntlet是美国网络联盟公司(NAI)推出的PGP网络安全解决方案中的防火墙套件产品。该产品属于应用层网关一级的防火墙。

　　Gauntlet 在应用层按照安全策略检查双向的通信，具有用户透明、集成管理、强力加密和内容安全、高吞吐量的特性，可用于Internet/Intranet和远程访问等多种领域，但这些功能模块相对简单，性能相对较低，而且配置管理界面基本是基于命令行的，没有GUI那么直观和友好。

　　用户在使用Gauntlet防火墙产品时，还可以根据需求选择防病毒措施，这是他的特色之一。配置Gauntlet防火墙，还可以检查进入网络的文件、消息和Web内容；防止Java和ActiveX程序攻击网络；过滤URL、对远程访问进行报告和实时报警。

　　Gauntlet 提供了比较丰富的代理服务清单，其中包括：FTP（诸如Microsoft公司的NetShow、RealNetworks公司的RealPlayer、 ZingTechnology公司的StreamWorks以及VDOnet公司的VDOLive之类的多媒体）、SNMP、新闻以及其他几种，它还具有建立定制代理的功能。其鉴定服务包括:AccessKeyⅡ、CryptocardRB-Ⅰ、AxentTechnologies公司的 DefenderSecurityServer、VascoDataSecurity公司的Digipass、SecureComputing公司的 SafeWordAuthenticationServer、SecureNetKey、SecurID、S/Key以及可重用口令(内置)。

　　NAI Gauntlet不含有Integrated Web Cache功能，不能加速企业的网络信息访问，并且没有支持企业级应用的防火墙阵列功能，这一点对于任何软件防火墙都是及其必要的。总体而言，NAI Gauntlet更像是一个给其他防火墙提供辅助功能的一个增强模块，让它独立担纲，有点勉为其难。

　　5.NetScreen 科技的 NetScreen－100

　　和Cisco的PIX类似，NetScreen－100也运行专有操作系统。与运行在Intel平台上的PIX不同，NetScreen使用专有 ASIC构成高性能防火墙，价格便宜而且易于安装。我们发现它通过串行连接给接口分配IP地址的安装办法非常简单。完成这一步之后，我们就可以通过 Netscape或者微软的浏览器来进行进一步的工作。在不运行NAT时只有PIX和FireWall－1比NetScreen－100性能高，如果运行 NAT，NetScreen的性能不会降低，因而比FireWall－1的性能要好。

　　NetScreen是唯一不路由消息包就让它们通过的产品。使用这一功能，防火墙内的任何主机或者路由器可以继续使用Internet路由器的网关地址，或者使用任何其它能访问外部网络的路由器。这样就不必在防火墙和外部路由器之间增加另外一个子网，也不需要把外部路由器的地址移动到防火墙的内部接口上来，这样内部主机就不必更改它们的网关地址了。我们在正常防火墙和透明操作模式这两种情况下都成功地进行了路由。

　　

　　NetScreen防火墙的网络访问控制是所有产品中最脆弱的。事实上，除了URL过滤和FTP，它没有任何其他比简单的包过滤更强大的功能。

　　6.CyberGuard 公司的CyberGuard 防火墙

　　CyberGuard 防火墙和AXENT以及Secure Computing的产品都是基于代理技术的。尽管它也有一长串代理应用程序,但是它的代理功能远没有Raptor那样丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。我们发现它的用户界面非常粗糙和简单。

　　CyberGuard加固了它自己的操作系统，使它的多虚拟安全环境（Multiple Virtual Secure Environments，MVSE)系统谨慎地隔离所有进程、文件和目录，只允许绝对必要的通讯通过CyberGuard。

　　它的用户界面包括一个运行在防火墙监视器上的全屏幕控制台，顶部的菜单条上列着所有的基本应用程序。使用这个菜单能勉强能访问通用系统管理作业，比如 IP地址和路由配置等，这使得完成这些作业不是很轻松，这一点远不如MS ISA SERVER 和Check Point FireWall-1。

　　它的实际防火墙策略在信息包过滤窗口中建立，窗口的上半部分是规则列表，下半部分是编辑模板。编辑模板可以使你指定你想允许或者禁止的协议，可以快速建立日志并且可以让自己决定现在不想看哪些东西。你可以在每个规则的上面或者下面添加注释，但是我们发现如果相关规则对应着自己的屏幕就会显得凌乱不堪。

　　CyberGuard声称支持加密和密钥管理的IPSec标准，但是目前这个应用程序还没有通过ICSA认证。

　　总体而言，CyberGuard功能相对简单，性能一般，适合中小型部门使用。

　　7. 3Com OfficeConnect Firewall

　　与MS ISA SERVER类似，3Com OfficeConnect Internet防火墙也可以用来控制局域网对Internet的使用，为小企业提供确保网络安全的廉价和高效的方法，用户可以禁止访问不恰当的资料，记录哪些站点最常被访问，以及Internet连接使用着多大的带宽。..

　　产品评测：1) 3Com公司的OfficeConnect Firewall，使用全静态数据包检验技术，可以防止非法的网络接入和防止来自Internet的“拒绝服务”攻击，但防范其他攻击的措施不多，这会使技术经验有限的用户无所适从。

　　2) OfficeConnect Internet Firewall可以限制局域网用户对Internet的不恰当使用。DMZ可支持多达100个局域网用户。这使局域网上的公共服务器可以被 Internet访问，又不会使局域网遭受攻击。但性能相对较弱，只能用于50台机器的中小行企业网络中。

　　

　　3) OfficeConnect Internet Firewall可以使整个办公室可以共享ISP提供的一个IP地址，从而节省费用，配置比较简单。

　　4) OfficeConnect Internet Firewall最主要的问题在于防火墙的性能较差，功能模块比较单一且可配置选项少。主要优点是维护相对简单，因为简单嘛。

　　8. 清华紫光UNISECURE UF3500

　　UF3500防火墙具有防火墙和流量控制等功能，结合了网络级包过滤（Network-level Packet Filter）和应用级代理服务器（Application-level Proxy Server）的功能。UF3500使用户可以轻松地设置安全策略、带宽优先级和访问记录。

　　产品评测：1) UF3500防火墙同样含有网络地址转换（NAT）功能，可以隐蔽内部IP地址，增强了安全性，节约了从ISP得到的外部IP地址。

　　2) 具备简单多级过滤、动态过滤和代理，可以通过数据包检测，保护内部网络不被破坏，并且保护网络服务和重要的私人数据。

　　3)用户可以配置的带宽使用、网络传输和防火墙系统记录，支持最大流量的控制，还以多优先级方式保护重要任务的应用，但配置相对分散。

　　4)支持 URL过滤，可以按URL地址进行过滤，可分别允许或禁止同一IP上的多个虚拟主机。

　　5)支持基于SSL的浏览器管理界面，允许通过流行的Web浏览器使用https协议管理和配置防火墙，保证了防火墙管理的安全性和易用性。支持浏览器超时退出的功能，保证了管理员离开管理计算机后的安全。

　　6)其缺点是功能与性能相对偏弱，安全规则的定义范围完备性不够。不支持阵列性能，不适合高端应用。

　　9. 东方龙马防火墙

　　东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用，它根据系统管理者设定的安全规则保护内部网络，同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能。提供完善的安全性设置，通过高性能的网络核心进行访问控制。

　　产品评测：1)支持动态设置过滤规则的功能，根据实际应用的需要，在建立应用服务的时候动态地增加一组规则，在服务结束的时候，自动地把规则删除，这一点接近MS ISA SERVER的功能。

　　2) 支持双向的网络地址转换功能，同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换。

　　3) 具有比较简单的抗攻击和自我保护能力。通过体系结构来防范一系列外部黑客的攻击，如抗IP假冒攻击、抗特洛伊木马攻击等。

　　4) 提供GUI图形化用户界面对防火墙进行配置，并支持负载均衡技术，将用户的服务请求分布到多台服务器上面，但在这一点上，我们发现其没有达到企业级阵列应用的性能指标。

　　

　　10. 微软网络安全和网络加速解决方案：Microsoft ISA Server 2000

　　Microsoft ISA Server 2000是微软公司设计与开发的，产品全称为Microsoft® Internet Security and Acceleration (ISA) Server 2000。

　　随着因特网和电子商务技术发展，商务应用对网络速度提出了更高的要求。企业的商务应用不只是局限于企业内部网，还需要通过企业外部网、因特网访问其它企业的应用。在竞争非常激烈的市场经济大环境中，对于一个企业来说，速度就是一切，为此商务因特网应用对网络的响应速度提出了更高的要求。所以，在现有的条件下，如何让企业对外的访问速度加倍，并且确保业务的运营环境通行无阻，安全可靠，已是企业刻不容缓的任务。

　　为了解决网络的整体安全，帮助企业组织控制在因特网及其内部网络间流通的信息，同时帮助企业加快网络的速度，微软公司推出了Microsoft® ISA Server 2000。

　　Microsoft® ISA Server 2000是Windows 2000 Server平台上同时具有防火墙与网站缓存的服务器软件。当用户付费时会发现，用相近的价格买回的防火墙产品，居然同时具备了PROXY（代理服务器）功能。这是我们拿到ISA SERVER后第一个感受。

　　Microsoft® ISA Server 2000提供多层次的企业级防火墙，并结合专用的防毒软件，在企业Internet推出的第一道关卡，保护网络资源，避免病毒、黑客及未获授权的存取行为，同时加速公司内部对内与对外的存取速度，节省Internet网络带宽，并且向使用者提供更快的Web存取速度，进而进行统一Internet资源管理。

　　Microsoft® ISA Server 2000具备高度扩展能力的防火墙与网站缓存服务器，它与Windows® 2000整合，提供了基于策略（policy-based）的安全性，同时也具备快速存取与易于管理的网络功能。Microsoft® ISA Server 2000提供了两个高度整合的模式：一个多层次的防火墙（firewall）与一个高效率的网站缓存服务器（Web cache server）。

　　防火墙提供了下列的功能：包（packet）、链路（circuit）与应用(Application)的过滤功能；检查通过防火墙的资料的功能：存取策略（access policy）的控制（如下图）：信息流量的路由（routing）。缓存功能通过将最常存取的网站内容储存起来的方式，来改善网络的效率与使用者存取的速度。防火墙与缓存可以分别被布署在不同的服务器上，也可布署在同一台服务器上

　　Microsoft® ISA Server 2000巧妙设计的管理工具简化了策略的定义、流量路由、服务器发布与监控等工作，并以智能的管理界面，让管理者可以轻松设定防火墙与企业内部网络的复杂环??.

　　

　　Microsoft® ISA Server 2000建立在Windows® 2000的安全性、目录服务、虚拟私有网络（VPN）与带宽控制的基础上，因此无论是分别布署防火墙、网站缓存，或是布署为两者兼具的整合模式， Microsoft® ISA Server 2000都能够强化网络的安全性、强制实施一致的Internet使用原则、加速Internet的存取。

　　Microsoft® ISA Server 2000能够在效率、管理、扩展性等各方面满足Internet高流量的需求，同时它也具备集中管理、多层次存取原则与容错的功能。Microsoft® ISA Server 2000 企业版为关键任务的Internet连接，提供了一个快速、安全与高扩展能力的环境。

　　这是我平时留意各厂家的一些资料集合起来的.防火墙的创始人是CHECKPOINT,所以无疑,他是最强的,世界上第一个针对应用层做过滤的防火墙是 ISA,所以他的卖点也是很明显的.随着企业的需求不断复杂,不断提高,硬件防火墙都开始效仿ISA的功能对应用层做处理了(原来的硬件防火墙只在低层次做过滤),最典型的是WATCHGUARD的防火墙,还有FOTINET等等.大家可以研究一些有代表性的产品,其他的都是千编一例