❶ 維金病毒是什麼樣的病毒 感覺他很強的樣子
近期有一個名為「威金蠕蟲變種DR(Worm.Viking.dr)」的病毒正在互聯網上肆虐。該病毒集文件型病毒、蠕蟲病毒、病毒下載器於一身,傳播能力非常強。該病毒會破壞用戶的一些軟體,造成它們無法使用。
「威金蠕蟲」是一個能在WIN9X/NT/2000/XP系統上運行的蠕蟲病毒,通過感染文件、區域網以及其他病毒下載傳播。該病毒還會自動在後台下載並運行「QQ通行證」等其他病毒,竊取用戶QQ及網路游戲的賬號和密碼並發送給黑客。由於該病毒在編寫上存在一些問題,可造成一些用戶的軟體被破壞,無法使用。瑞星殺毒軟體2006版可以清除掉染毒文件中的病毒,並將這些文件恢復成正常狀態。
一、病毒特徵
1、病毒運行後將自身復制到Windows文件夾下,文件名為:
%SystemRoot%\rundl132.exe
2、運行被感染的文件後,病毒將病毒體復制到為以下文件:
%SystemRoot%\logo_1.exe
3、同時病毒會在病毒文件夾下生成:
病毒目錄\vdll.dll
4、病毒從Z盤開始向前搜索所有可用分區中的exe文件,然後感染所有大小27kb-10mb的可執行文件,感染完畢在被感染的文件夾中生成:
_desktop.ini (文件屬性:系統、隱藏。)
5、病毒會嘗試修改%SysRoot%\system32\drivers\etc\hosts文件。
6、病毒通過添加如下注冊表項實現病毒開機自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\rundl132.exe"
7、病毒運行時嘗試查找窗體名為:"RavMonClass"的程序,查找到窗體後發送消息關閉該程序。
8、枚舉以下殺毒軟體進程名,查找到後終止其進程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同時病毒嘗試利用以下命令終止相關殺病毒軟體:
net stop "Kingsoft AntiVirus Service"
10、發送ICMP探測數據"Hello,World",判斷網路狀態,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。
11、感染用戶機器上的exe文件,但不感染以下文件夾中的文件:
system
system32
windows
Documents and settings
system Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
12、枚舉系統進程,嘗試將病毒dll(vdll.dll)選擇性注入以下進程名對應的進程:
Explorer
Iexplore
找到符合條件的進程後隨機注入以上兩個進程中的其中一個。
13、當外網可用時,被注入的dll文件嘗試連接以下網站下載並運行相關程序:
http://www.17**.com/gua/zt.txt 保存為:c:\1.txt
http://www.17**.com/gua/wow.txt 保存為:c:\1.txt
http://www.17**.com/gua/mx.txt 保存為:c:\1.txt
http://www.17**.com/gua/zt.exe 保存為:%SystemRoot%\0Sy.exe
http://www.17**.com/gua/wow.exe 保存為:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存為:%SystemRoot%\2Sy.exe
註:三個程序都為木馬程序
14、病毒會將下載後的"1.txt"的內容添加到以下相關注冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows]
"ver_down0"="[boot loader]\\\\\\\\\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" ////"
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /////"
既然是通過網路傳播,就有傳播的埠,可以考慮在網路設備上增加ACL,進行訪問控制.在邊界防火牆上增加相關的埠屏蔽策略.
因其有主機感染的特點,更要加強網路版防毒軟體終端系統的更新和及時查殺。
另外,防火牆除了屏蔽傳播埠外,一般對病毒的基本無控制能力,而很多病毒(除了移動存儲設備)均來自於網路中,邊界的防毒,垃圾郵件,帶毒郵件的威脅需要用戶重視.可以採用例如DCFW-1800E-UTM統一威脅管理設備.進行防毒 防垃圾郵件的安全控制.
二、專殺工具
http://it.rising.com.cn/service/technology/RavVikiing.htm
另外瑞星升級到最新版本也能清除該病毒,建議先手動刪除然後在用瑞星掃描全盤。
特別推薦:
CHENOE Anti-Virus Tools 維金專殺 (民間版 魏滔序)
有用戶反應該病毒變種可抑制瑞星和卡巴斯基等主流殺毒軟體的啟動,在此前提下可安裝這個民間版,軟體不到一兆,在系統遲緩的前提下可輕松運行,相信對中此病毒的朋友能夠有所幫助。
軟體簡介
維金病毒的泛濫愈演愈烈,10月份發布了幾個專殺工具幫助千百萬計的用戶脫離苦海,近日又接到了很多用戶發來的維金病毒報告郵件,沒想到這個病毒比原來更猖獗了.原來的工具源碼在一次意外中丟失,這次又狠下心重新編寫了,也加入了最新的維金病毒特徵碼.請有需要的廣大的用戶下載使用,更希望能把在使用時發現的問題反饋給我們,或到下面的"支持博客"中留言.
該工具可以有效解除被感染的exe中的病毒並還原exe文件,網上的大部分工具是直接刪除exe文件。另外,本工具還具有Viking免疫功能。
下載後直接運行即可查殺,如果查殺幾次都有無法關閉的進程的,重新啟動一下計算機繼續查殺應該可以殺掉。直到病毒數為0時為止。如果配合PlanTasks程序可發揮更大威力。
專殺下載:http://www.chenoe.com/downloads.asp?file=kv8.com
三、刪除_desktop.ini
該病毒會在每個文件夾中生成一個名為_desktop.ini的文件,一個個去刪除,顯然太費勁,(我的機器的操作系統因安裝在NTFS格式下,所以系統盤下的文件夾中沒有這個文件,另外盤下的文件夾無一倖免),因此在這里介紹給大家一個批處理命令 del d:\_desktop.ini /f/s/q/a,該命令的作用是:強制刪除d盤下所有目錄內(包括d盤本身)的_desktop.ini文件並且不提示是否刪除/f 強制刪除只讀文件
/q 指定靜音狀態。不提示您確認刪除。/s 從當前目錄及其所有子目錄中刪除指定文件。顯示正在被刪除的文件名。/a的意思是按照屬性來刪除了這個命令的作用是在殺掉viking病毒之後清理系統內殘留的_desktop.ini文件用的使用方法是開始--所有程序--附件--命令提示符,鍵入上述命令(也可復制粘貼),首先刪除D盤中的_desktop.ini,然後依此刪除另外盤中的_desktop.ini。至此,該病毒對機器造成的影響全部消除。覺得有用的朋友們拿去試試吧 .
❷ 神州數碼DCFW-1800防火牆如何設置ip帶寬限制
LZ好,作為企業用戶首選的網路安全產品,防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據,《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。
《網路世界》評測實驗室依然本著科學、客觀公正的原則,不向廠商收取費用,向所有
希望參加評測的廠商開放。
我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品,其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW,聯想網御2000,NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆,千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下,順
利完成了對其他12款產品的評測任務。
測試內容主要涵蓋性能、防攻擊能力以及功能三個方面,這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備,利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時,為准確判定被攻擊方收到的包是否是攻擊包,我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。
在功能測試方面,我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。
最後,我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司,同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。
性能綜述
對於網路設備來說,性能都是率先要考慮的問題。與其他網路設備相比,防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。
在我們測試的過程中,感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性,從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
,目前主要有三種,一種使用ASIC體系,一種採用網路處理器(NP),還有一種也是最常見
的,採用普通計算機體系結構,各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響,目前防火牆軟體平台有的是在開放式系統(
如Linux,OpenBSD)上進行了優化,有的使用自己專用的操作系統,還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小,測試防火牆性能時
將防火牆配置為最簡單的方式:路由模式下內外網全通。
我們此次測試過程中,針對百兆與千兆防火牆的性能測試項目相同,主要包括:雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率;單向性能測試項目包括吞吐量、10%線速下的延
遲;起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。
百兆防火牆性能解析
作為用戶選擇和衡量防火牆性能最重要的指標之一,吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中,64位元組幀,安氏領信防火牆表現最為
出眾,達到了51.96%的線速,NetsScreen-208也能夠達到44.15%,
在單向吞吐量測試中,64位元組幀長NetScreen-208防火牆成績已經達到83.60%,位居第一
,其次是方正方御防火牆,結果為71.72%。
延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明,聯想網御200
0與龍馬衛士的數值不分伯仲,名列前茅。
幀丟失率決定防火牆在持續負載狀態下應該轉發,但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性,吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下,NetScreen-208在256、512和1518位元組幀下結果為0,64位元組幀下結果為5
7.45%。
一般來講,防火牆起NAT後的性能要比起之前的單向性能略微低一些,因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。
最大並發連接數決定了防火牆能夠同時支持的並發用戶數,這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標,尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首,而龍馬衛士防火牆結果也
達到80萬。
我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接,考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。
Syn Flood目前是一種最常見的攻擊方式,防火牆對它的防護實現原理也不相同,比如,
安氏領信防火牆與NetScreen-208採用SYN代理的方式,在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流,兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。
Teardrop攻擊測試將合法的數據包拆分成三段數據包,其中一段包的偏移量不正常。對
於這種攻擊,我們通過Sniffer獲得的結果分析防火牆有三種防護方法,一種是將三段攻擊包
都丟棄掉,一種是將不正常的攻擊包丟棄掉,而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆,還有一種是將第二段丟棄,另外兩段分別穿過防火牆,這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
,神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況,Netscreen-208屬於
第三種情況。
對於Ping Sweep和Ping Flood攻擊,所有防火牆都能夠防住這兩種攻擊,SG-300防火牆
過濾掉了所有攻擊包,而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過,但大部分攻擊包都能夠被過濾掉,這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。
千兆防火牆性能結果分析
由於千兆防火牆主要應用於電信級或者大型的數據中心,因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說,三款千兆防火牆之間的差異相當大,但性能結
果都明顯要高於百兆防火牆。
雙向吞吐量測試結果中,NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯,NetScreen-5200的雙向10%線速下的延遲相當低,64位元組幀長僅為4.68祍,1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後,NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式,所有隻測了NAT 結果,該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明,NetScreen-5200防火牆達到100萬。
在防攻擊能力測試中, 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好,沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊, NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包,SG2000H防火牆測試時對發送的45個攻擊包,丟棄了後面的兩個攻擊
包,這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時,F600+防火牆丟棄了所有的
攻擊包,ServGate-2000防火牆只保留了第一個攻擊包,NetSreen-5200防火牆則保留了第一
和第三個攻擊包,這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。
功能綜述
在我們此次測試防火牆的過程中,感受到了不同防火牆產品之間的千差萬別,並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。
包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術,從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。
在工作方式方面,大部分防火牆都支持路由模式和橋模式(透明模式),來自ServGate
公司的SG300和SG2000H,其工作方式主要是橋模式和 NAT模式,沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。
百兆防火牆
與交換機走向融合?
當我們拿到要測試的防火牆時,有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口,正在朝向多個埠方向發展,帶有4個埠的防火牆非常常見,我們都知道三個埠是用
來劃分內網、外網和DMZ區,那麼增加的第4個埠有什麼用呢?不同產品差別很大,但以用
作配置管理的為主,安氏的防火牆將該埠作為與IDS互動的埠,比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠,Netscreen-208有8個固定埠,Netscreen-5200
則是模塊化的千兆防火牆,可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊,這顯示了防火牆與交換機融合的市場趨勢。
對DHCP協議的支持方面,防火牆一般可以作為DHCP信息的中繼代理,安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端,這是非常獨特的地方。
在VLAN支持方面,Netscreen防火牆又一次顯示了強大的實力。與交換機類似,Netscre
en-208支持每個埠劃分為子埠,每個子埠屬於不同的VLAN,支持802.1Q,並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN,主要支持802.1Q和Cisco的ISL。
管理特色凸現
管理功能是一個產品是否易用的重要標志,對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。
不同的防火牆對管理員的許可權分級方式不同,但總的來說,不同的管理員許可權在保護防
火牆的信息的同時,通過三權分立確保了防火牆的管理者職責分明,各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。
目前,對防火牆的管理一般分為本地管理和遠程管理兩種方式,具體來說,主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講,像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式,非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂,對於很多用戶來說使
用會比較困難,而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了,這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然,很多防火牆的CLI命令
功能比較簡單,主要功能還是留給了GUI管理軟體,方正、聯想防火牆是非常典型的例子。
從易用性的角度來講,Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象,漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面,同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然,對於要集中管理
多台防火牆來說,GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。
帶寬管理正在成為防火牆中必不可少的功能,通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量,對不同的用戶,每天分
配固定的流量,當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。
VPN和加密認證
防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec,這6款防火牆都提供了良好的支持。
安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面,包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法,如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然,加密除了用於VPN之外,遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。
在身份認證方面,防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准,這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證,認證過程採用一次性口令(OTP)的協議SKEY,可以抵抗網路竊
聽。
防禦功能
防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描,使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。
在病毒掃描方面,表現最突出的當屬聯想網御2000,它集成了病毒掃描引擎,具有防病
毒網關的作用,能夠實時監控HTTP、FTP、SMTP數據流,使各種病毒和惡意文件在途徑防火牆
時就被捕獲。
在內容過濾方面,大部分防火牆都支持URL過濾功能,可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊,為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾,能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。
在防禦攻擊方面,Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項,用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外,還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動,以實現更強勁的防攻擊能力。
安全特性
代理機制通過阻斷內部網路與外部網路的直接聯系,保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。
參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能,包括HTTP、SMTP、POP3
、FTP等,從而能夠屏蔽某些特殊的命令,並能過濾不安全的內容。
NAT通過隱藏內部網路地址,使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路,從而可以在一定程度上保護內
部網路。另一方面,NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能,雖然大家叫的名稱不同,但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。
高可用性
負載均衡的功能現在在防火牆身上也開始有所體現,Netscreen-208支持防火牆之間的負
載分擔,而其他防火牆則支持伺服器之間的負載均衡。
目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠,實現防火牆之
間的Active-Active高可用性。
日誌審計和警告功能
防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息,為了在繁多的日誌中進行查詢和分析,有必要對這些日誌進行審計和管理,同
時防火牆存儲空間較小,因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。
安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理,可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式,包括Internal、Syslog、WebTrends、flash卡等。
當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時,根據設定的規則,
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。
對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種,事件日誌分為8個不同等級。
優秀的文檔很關鍵
大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面,內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹,還舉了很多實用的例子幫助用戶比較快地配好防火牆,使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋,非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊,但缺憾在於它們全部是英文的。
千兆防火牆
此次總共收集到4款千兆防火牆產品,但北大青鳥在性能測試尚未完成時就自行退出,所
以共測試完成了三款千兆防火牆,它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表,而SG2000H則是采
用網路處理器的例子。
從實現原理來看,三者都主要是基於狀態檢測技術,而在工作方式上,NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式,而ServGate SG2000H則支持橋模式和NAT模式
。
F600+支持DHCP中繼代理,而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面,NetScreen-5200的每個埠可以設定不同子埠,每個子埠可以支持不
同的VLAN,可以非常容易集成到交換網路中。據稱,該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且,還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。
從管理上來看,NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理,串口CLI命令功能很簡單。從配置上來說,Ne
tScreen-5200配置界面非常美觀,菜單清晰,並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大,但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上,非常方便
用戶使用,而該管理軟體與防火牆之間則通過128位加密進行通信,有利於對多台防火牆
的管理。
在帶寬管理上,F600+很有特色,它通過「管道」概念實現,每個管道可以具有優先順序、
限制和分組等特點,可以給防火牆規則分配一個或多個管道,還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。
在VPN支持方面,NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道,還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN,而SG2000
H未加VPN模塊。在認證方法上,只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。
F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器,它雖然不支持在
防火牆中記錄日誌,但能夠在防火牆管理器中實時顯示日誌數據,還支持Syslog 日誌伺服器
,提供靈活的審計報表,並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器,NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。 4986希望對你有幫助!