Netscreen VS. checkpoint 杂谈

Netscreen VS. checkpoint 杂谈(2) 　　从checkpoint的站点上得到的资源来看，这些解决方案的效果还是比较理想的。在checkpoint的高端产品上（如和Bivio合作推出的1000s平台上的防火墙性能可达4.0 Gbps，在64byte小包上也可达到3.2 Gbps的通透性）。
　　此外根据checkpoint公布的资料来看，在这个月checkpoint自己的测试中，使用了5月13宣称的新技术Application Integlligence后，性能在原来的基础上进一步提升了31%。
　　
　　
　　稳定性兼容性：
　　由于netscreen采用的专门的软硬件，因此系统的稳定性上理论上应该领先，同时由于防火墙操作系统是专用的screenos，不存在防火墙和硬件的兼容性问题。
　　
　　而checkpoint使用的优化和定制后的操作系统和硬件，但是由于防火墙需要运行在通用的操作系统和硬件之上，而这些操作系统和硬件不是特定为防火墙各项功能设计的，因此可能会存在稳定性和兼容方面的隐患。
　　
　　功能和灵活性：
　　netscreen采用的专门设计的操作系统和硬件架构，决定了灵活性上要相对差一些，而且可能提供的功能相对较少。
　　比如早期为很多人诟病的高版本的screenos操作系统无法使用在早期的硬件平台上，从保护投资的角度上是很难为客户所接受的。
　　又如netscreen的策略数目是有限的，如果用完了访问控制策略，如果要新增新的策略，那么必须去掉已经配置好的某些策略。
　　此外对硬件的依赖决定了很难扩充新的功能模块，防火墙从购买之日起能提供的功能就基本上不会有太多的改变了，客户买了某种型号的防火墙后可能无法期待后期的重大升级。
　　
　　而Checkpoint由于架构不依赖硬件，因此理论上功能是可以无限扩充的，它能给客户更多的控制和定制功能。
　　
　　防火墙所在系统安全更新
　　netscreen这种基于硬件的防火墙由于采用专用的screenos操作系统，安全问题暴露很少，需要打安全patch的必要性小。
　　
　　checkpoint跑在windows和unix上，由于这些操作系统本身的安全问题，管理员需要不断的更新操作系统本身的patch(尤其是windows平台上的，yiming简直受不了window隔三差五的patch了~~)，这对防火墙的管理者而言是个比较痛苦的活儿。
　　
　　维护成本
　　netscreen这种基于硬件的防火墙运行起来很容易，基本上加电开机就可以跑起来了，而且防火墙维护者不需要了解防火墙以外的任何技术。
　　
　　Checkpoint正常运行需要先安装操作系统，安装各种驱动（比如网卡），配置操作系统等，这是个比较讨厌的活儿。
　　不过checkpoint为了解决这个问题，也推出了软硬件集成在一起的产品，国内常见的就是和NOKIA合作推出的产品，比如NOKIA IP740，就是绑定在一起的基于freebsd的checkpoint套件，直接开电防火墙就能跑起来。
　　此外值得注意的是，如果checkpoint防火墙运行在unix平台上，需要防火墙的维护者对unix系统熟悉，不要小看这一点，在很多的公司，这对管理员是个很大的挑战。
　　
　　4. 数据包的处理方式
　　除了防火墙的体系架构，最重要的部分就是防火墙对数据包的处理方式了，虽然checkpoint和netscreen都说自己都是基于stateful inspection的防火墙，但两者还是有区别的。个人认为，准确的讲：checkpoint更多的是SPI（stateful packet inspection），而netscreen则更多的是SPF(stateful packet filter)
　　
　　netscreen使用的是核心是SPF，所谓SPF，一言以蔽之，即：在传统的包过滤的基础上增加了对数据包的状态判断。一个数据包如果不是意图建立连接的数据包同时又不属于任何已经建立的连接的话，这个数据包直接就被丢弃或者拒绝-根本无需去和访问控制列作比较。这样就大大增加了安全性，同时提高了性能。目前基本上主流的防火墙都采用了这一非常成熟的技术，与此同时，为了更加有效的发挥防火墙的作用，netscreen公司和其他大多数公司一样，在对数据包的处理方式上，除了SPF，还增加了Application Proxy方式，利用这一方式，netscreen对高层的一些应用可以进一步加以控制，比如利用syn gateway抵抗Denial of service攻击即为一例。