产品点评
D-Link DFL-1500
D-Link DFL-1500在硬件设计上十分简洁,其风格与D-Link公司的交换机产品相似,体现了D-Link公司在硬件生产、设计方面的深厚实力与丰富的经验。
DFL-1500拥有5个10M/100M端口,固定配置其中两个为内网口、一个为DMZ、两个为外网口(在下一个版本会分别配置每个网口为内网口、DMZ或者外网口)。内、外网口的冗余设计可以为关键业务或服务提供更高可靠性。
DFL-1500的性能表现不错,尤其是它在延迟方面的优异表现给我们的测试工程师留下了深刻的印象,在绝大多数情况下延迟都为此次参测产品中最低的。
DFL-1500的功能都很丰富,我们可以轻松地对其进行管理配置。Web管理界面采用了三级菜单的形式,使用起来十分方便。在Web界面中有详细的英文帮助信息,给初次使用该产品的用户带来便利,防火墙的基本设置向导能够指导用户方便快捷地进行初始化设置。防火墙能够建立IPSec、PPTP和L2TP的VPN隧道,同时还可以工作在Pass Through模式。在IPSec VPN中可以实现多种加密与认证算法的组合,以满足不同用户的使用要求。DFL-1500内部嵌入了入侵检测(IDS)功能,能够自动检测针对受保护的内网、DMZ或者其中的各类服务器及主机的攻击,并且提供相应的保护措施,同时可以从网上下载最新的入侵检测特征库。
在防火墙设备中有详尽的帮助文件,随机电子文档内容十分丰富,详细说明了防火墙及VPN的基础知识以及如何安装、配置、使用该产品,给设备的初用者提供了很好的入门指导。
方正方通1000V-R 
方正科技此次送测的方通1000V-R是一款性能稳定、功能实用的产品。1000V-R的外观小巧精致,带有4个10/100 Base-T的端口,其中三个可用于自行设定为内、外、网口,第四个端口(Black Zone)用于与IDS互动。非常有趣的是,它的四个端口旁边还提供了按钮来识别线序。
性能上方正方通1000V-R表现比较稳定,每项性能我们进行的三次测试结果之间差异很小,1条规则双向全通状态下的性能与加1000条规则后的吞吐量和延迟均相差无几。建立1条IPSec VPN隧道下的结果与不加VPN相比,结果相差较大,以64字节帧长为例,从线速的11.83%下降到了4.87%。
与其他被测产品不同,方通1000V-R不支持Web界面进行管理,而是有一套用Java编写的管理软件SecurewayAdmin用来对设备进行配置和管理。对象以及门的概念也是方通所特有的,创建对象、创建安全规则、注册门、传送配置信息是配置防火墙的一般步骤,网络对象、时间对象和服务对象以组件的形式可以提供给安全策略。
防攻击测试中,在不影响正常连接建立的过程中,Smurf、Ping of Death、TCP Reset Scan、XmasTree Scan这几种攻击全部被防火墙阻挡在外,其他攻击测试时,方正方通1000V-R也会发出报警声通知管理员受到了攻击。方正方通1000V-R还可针对SMTP协议过滤邮件,包括针对附件、MIME类型以及邮件大小以及邮件列表等设定要过滤的邮件,可以起到部分过滤垃圾邮件的功能。
该产品支持IPSec和L2TP协议建立隧道,在建立IPSec VPN隧道时,可选加密算法种类很多,还支持这些算法与MD5、SHA-1认证算法的任意组合。作为L2TP VPN网关,方正方通1000V-R可以作为DHCP服务器给其他Secuway 1000V-R分配IP地址构建VPN。
这款产品配套的中文说明书内容比较详尽,还涵盖了很多配置安全策略的例子,有利于用户的阅读与理解。不足之处在于网站上关于1000V-R的信息只有比较简单的介绍,没有提供软件或说明书下载等内容。
NetScreen-208
NetScreen-208凭借其简单易用的配置界面以及全面的功能、强大的性能再度获得我们《网络世界》评测实验室“编辑选择奖”。
今年我们对NetScreen-208的“折磨”远远多于去年,在添加1000条规则以及3DES+MD5的IPSec VPN后NetScreen-208依然傲视群雄,1000条规则对NetScreen-208性能影响甚微,尤其是吞吐量和10%线速下延迟相差无几。加一条VPN隧道的性能明显低于不加VPN的性能,但NetScreen-208依然在吞吐量方面位居榜首。127937的并发连接数与其宣称的128000非常相近。我们通过TeraVPN测试出NetScreen-208支持的VPN隧道数为1000个。
由于此次送测的NetScreen-208采用的是新版本的Screen OS,所以其功能与去年相比又有了明显的增强。通过对NetScreen-208的实际配置,我们的评测工程师对其命令行和Web管理界面的简便易用均有深深感受,尤其是其Web界面上所提供的“向导”功能支持用户轻松快捷地创建VPN隧道和添加策略,在Web界面首页能够实时图形化显示CPU、内存占用率、会话以及策略。
NetScreen-208除了支持32个VLAN之外,还在路由方面有了明显的增强,不只支持256条静态路由,对动态路由协议如支持RIP、OSPF和BGP等都有了更强的支持力度,这与其他产品相比也是它的出色之处。
在防攻击方面,NetScreen-208比去年更胜一筹,比如在DoS防攻击方面,提供了更多的选项,还提供了更细粒度的阻止HTTP内容功能。我们对14种攻击的测试结果也反应了NetScreen-208在建立正常TCP/HTTP连接的同时,依然能够拥有强大的防攻击能力。
NetScreen-208不仅对IPSec VPN有良好的支持,支持手工密钥、IKE等密钥交换方式,还支持L2TP以及L2TP within IPSec。可以单独设置VPN隧道监控,以获得有关VPN的运行信息。
详细内容以及清晰的图示例证是NetScreen文档带给我们的第一感受,用户可以从NetScreen网站上获得众多关于NetScreen-208的产品特性、用户手册等文档资料,但缺憾就在于NetScreen的软件以及配套文档还是以英文为主,本地化工作还需要进一步加强。
清华紫光比威UF3500 
UF3500是清华紫光比威自主研发的集成VPN模块的百兆防火墙,它出色的性能以及易用的配置体现了国产安全产品不断增强的实力。
从性能来说,UF3500在双向全通的条件下所表现的优异成绩让我们对国产防火墙刮目相看,在64、128字节帧长下能够达到47.41%、81.44%线速,其他三种帧长下全部达到线速,这在几款参测产品中是最为优异的。但1000条规则以及加上VPN隧道后的残酷考验使UF3500的吞吐量性能下降比较明显。
UF3500的CLI命令行配置界面仅能起到简单的作用,比如重新启动防火墙、显示防火墙IP等。Web配置界面比较易用,支持通过HTTPS进行管理,可以根据不同权限实现多级管理制度。无需设定普通模式(路由模式和NAT模式)或桥模式,UF3500自动适应不同网络环境,自动完成不同模式之间的的切换。
防攻击测试中,UF3500也表现的相当不错,对于我们测试的14 种攻击方式中,有12种获得了任何一个攻击包都无法穿越防火墙的结果。
UF3500非常有特色的一个地方是有专门选项供用户选择ADSL接入方式,ARP代理也是它的一个特点所在。在创建安全策略方面,支持创建IP转发策略、用户转发策略和地址转换策略。以比较细的粒度管理带宽也是UF3500的一个特点,通过设置优先级(支持8个)和速率来定义服务质量,从而保证或限制不同策略中的带宽。
在VPN支持方面,UF3500能够支持IPSec、IPIP、GRE隧道以及PPTP协议,在建立IPSec隧道时主要支持手工密钥方式交换密钥。
安全日志、事件日志和传输日志是UF3500支持的日志种类,管理员可以将日志保存到防火墙硬盘中,也可以发送到远程日志服务器保存下来,作进一步详细分析。UF3500本身所带的日志分析器LogIt可供日志管理员分析产品工作过程中产生的日志。
完善的用户手册是清华紫光比威UF3500随机携带的,内容比较详尽。网站内容还有待改善,只支持对产品简单介绍的文档下载。
NetScreen-5200 
NetScreen-5200采用2U高度设计,拥有8个端口(mini GBIC SX),每个端口都可以独立设置为内、外网口或DMZ。
NetScreen-5200在高可靠性方面进行了充分的考虑,提供冗余电源及风扇,同时两台设备之间可以通过高可用(HA)端口实现双机热备以及负载均衡。
NetScreen-5200在性能方面的不凡表现是它留给我们最深刻的印象,尤其是各种延迟方面,结果都在数微秒与数十微秒之间,与百兆设备比较起来小了很多。它支持的最大并发连接数达到100万,可完全胜任大型企业的需求,1000条规则对它的性能表现几乎没有产生任何影响。
在高性能工作的同时,NetScreen-5200还提供了丰富的功能。NetScreen-5200对VPN的支持非常出色,多种加密算法和认证算法的组合可以实现更为灵活的VPN通信,VPN中冗余网关以及隧道镜像的支持,可以保证VPN通信的高可用性。
从管理方式来说,其CLI命令不仅使用起来十分方便,更可以提供对设备全方位的管理与配置。Web管理界面设计清晰明了,首页实时显示系统资源使用情况以及简单的日志信息。
NetScreen-5200以其优异的性能表现和强大的功能、简便的管理能够满足大型用户在构建安全网络时的较高要求。
