史萊姆論壇 - 校園安全保鏢：校園防火牆選擇指南

在如今駭客猖獗的時代，大專所選用的路由器防火牆功能已經不能很好的防禦網路駭客攻擊，選擇更好的專用硬體防火牆將成為各大大專防禦網路駭客攻擊的重要手段。目前市場上的硬體防火牆可謂種類繁多，功能各異，而適合於校園網路的硬體防火牆必須要具備下面幾個特徵。

　　用戶連接數多是校園硬體防火牆必需具備的特點。目前各大大專的人數急劇增加，在這些大專中，雖然不是每人一台電腦，但電腦數量也相當可觀，再加上學校的各類機房，大專的網路非常龐大。所以，硬體防火牆需要帶動數量眾多的電腦上網。現在市場上已經有很多無人數限制的硬體防火牆，從根本上解決了這一問題。

　　適合於校園的硬體防火牆要具有連接百兆網路，千兆網路能力。由於硬體防火牆位於路由器的下一層，現在的校園網路一般都採用了百兆或則千兆以上的網路，所以我們需要連接高帶寬的硬體防火牆。

　　適合於校園的硬體防火牆必需具備很強的防黑能力和入侵監控能力，這也是硬體防火牆的基本特徵。目前網路駭客攻擊的主要手段有DOS(DDOS) 攻擊，IP地址欺騙，特洛伊木馬，密碼字攻擊，郵件詐騙等。這些攻擊方式不光來自外部網路，也來自內部網路。適合於校園的硬體防火牆必須要具有防止這些外網和內網攻擊的能力。硬體防火牆是由軟體和硬體組成，其中的軟體提供了陞級功能，這樣就能幫助我們修補不斷發現的漏洞。

　　由於校園網路內部有訪問一些非法網站的事情發生，為了禁止訪問非法網站，硬體防火牆不光需要有能夠防止內網訪問非法的功能，還必需具有監控網路的功能，因為現在一些不良網站每天都有新的出現，只有透過監控，才能根據相關資訊屏蔽這些非法網站。

　　適合於校園網路的硬體防火牆要讓管理員易於管理，畢竟學校並不會聘請專業管理員來管理硬體防火牆。這種易於管理表現在硬體防火牆所搭配的軟體上，目前市場上主要有搭配專業軟體的硬體防火牆和搭配Linux或Unix作業系統的硬體防火牆，用戶可根據自己實際情況來選擇。

　　對於購買任何產品，我們都會要求性價比高，所以校園的硬體防火牆同樣也需要一個高性能並且比較合適的價格才能吸引用戶購買。

　　上面就是適合校園網路硬體防火牆的基本特徵。針對現在市場上硬體防火牆品質的參差不齊，校園用戶購買難的情況，我們IT世界網路頻道向校園用戶介紹幾款硬體防火牆，以供參考。

　　思科PIX-515E-R-BUN (小型校園網路的選擇)

　　定位於低端市場的思科PIX-515E-R-BUN 防火牆，具有較高的性價比。這款硬體防火牆採用了Intel賽揚處理器，主頻為433MHZ，擁有32MB記憶體和16MB閃存，最大並發連接數為13 萬，170Mpps的數據吞吐量，100MB的安全過濾帶寬和無用戶數限制充分說明了這款硬體防火牆適合於小型校園網路。

　　這款硬體防火牆系統的核心是一種基於自適應安全算法(ASA)的保護機制，可以防止常見的拒絕服務(DOS)攻擊。思科PIX-515E-R- BUN對VPN提供了支援，可以讓校園網路內部的數據安全的傳輸。思科PIX-515E-R-BUN 提供了入侵監控功能，可以在駭客入侵時，提供相應的策略來防範網路駭客的攻擊。這款硬體防火牆具有故障切換捆綁功能，如果網路中還有一個備份防火牆，這項功能將讓出現故障的思科PIX-515E-R-BUN 迅速轉換到另外一個備份防火牆上面去，防止網路駭客的攻擊。

　　思科PIX-515E-R-BUN 防火牆使用了Cisco PIX作業系統，讓這款硬體防火牆的安全性能得到了極大的提高，並且可透過在線陞級，修補將來出現的漏洞。

　　點評:思科PIX-515E-R-BUN 的整體性能如果應用在小型的校園網路中，還是讓人滿意，加上具有ASA保護機制和故障切換捆綁功能，還是讓這款硬體防火牆增色不少。

　　網新易尚 ES903 (中小型校園網路應用)

　　網新易尚 ES903是一款採用ASIC硬體設計的防火牆，它擁有200Mpps的數據吞吐量和70MB的安全過濾帶寬，並發連接數達到了50萬，整體性能比較讓人滿意，適合於中小型校園網路。

　　這款硬體防火牆具有WEB內容過濾功能，校園網管理員可以在免屏蔽清單中添加需要屏蔽的網站地址，透過在WEB管理器裏面另外設定一個合法的網址，達到校園內部用戶訪問非法網站時，自動連接到WEB管理器裏所設定的合法地址上去。網新易尚 ES903提供了入侵偵測功能，當駭客攻擊校園網路時，防火牆將把攻擊資訊記錄在系統日誌裏面，並對駭客提出警告。用戶認證功能則讓校園網路的安全性得到一定的提高。這款硬體防火牆提供了比較全面的防禦功能，能夠防止包括DoS、連接埠掃描、緩衝區溢出、暴力攻擊、特洛伊木馬等攻擊。網新易尚 ES903同其他硬體防火牆一樣，提供了流量控制，VPN，IP地址與MAC地址綁定等功能，讓校園網用戶擁有更加安全的網路環境。

　　網新易尚 ES903搭配了其專用的ESOS作業系統，無論是在性能上和功能上，都讓這款硬體防火牆得到了極大的發揮。

　　點評:這款硬體防火牆的功能非常強大，加上採用了ASIC硬體設計，在性能上有了很大的提升。但70MB的安全過濾帶寬低於標準水平。

思科PIX-525-UR-GE-BUN (中小型校園網路選擇)

　　思科PIX-525-UR-GE-BUN 是一款面向企業的防火牆，同時也滿足一些中小型的校園網路。這款硬體防火牆採用了Intel Pentium III處理器，主頻達到600MHZ，並且配備了256MB隨機記憶體和16MB閃存，最大支援28萬個並發連接數，具有370Mpps的網路數據吞吐量和100MB的安全過濾帶寬，無用戶限制數，整體性能比較強勁，非常適合於中小型校園網路。

　　這款硬體防火牆提供面向靜態連接防火牆功能的自適應安全算法(ASA)，可以實現包過濾，並且可以跟蹤數據傳輸中的源地址和目的地址，TCP序列號，連接埠號和每個數據包附加的TCP標志，從而保證校園內部網路不會受到非法用戶的攻擊。思科PIX-525-UR-GE-BUN支援VPN功能，並且可以將校園網路中傳輸的數據進行加密，防止其他用戶竊取。思科PIX-525-UR-GE-BUN提供了網路地址轉換(NAT)功能，可以節省IP地址資源，並且可將IP地址隱藏，防止外部網路穫取，為校園內部網路安全提供了有力的保障。思科PIX-525-UR-GE-BUN具有防止拒絕伺服器攻擊功能，防止校園網路內部電腦不受駭客的攻擊。Java Applet過濾功能則可終止校園網內部用戶使用Java所帶的潛在危險。郵件保護功能和URL過濾功能讓校園網用戶基本上不會受到郵件攻擊和不能訪問非法站點。

　　思科PIX-525-UR-GE-BUN的操作也十分簡單，只需要6條命令就能完成基本的安全設定，對於校園網來說，就十分的方便了。

　　點評:這款硬體防火牆的性能比較讓人滿意，思科公司的ASA算法，則讓思科PIX-525-UR-GE-BUN為校園用戶提供了更高的安全性。 370Mpps和100MB的安全過濾帶寬使得這款硬體防火牆隻適合於一些中小型的校園網路使用。　　定位於低端市場的思科PIX-515E-R-BUN防火牆，具有較高的性價比。這款硬體防火牆採用了Intel賽揚處理器，主頻為433MHZ，擁有 32MB記憶體和16MB閃存，最大並發連接數為13萬，170Mpps的數據吞吐量，100MB的安全過濾帶寬和無用戶數限制充分說明了這款硬體防火牆適合於小型校園網路。

　　這款硬體防火牆系統的核心是一種基於自適應安全算法(ASA)的保護機制，可以防止常見的拒絕服務(DOS)攻擊。思科PIX-515E-R- BUN對VPN提供了支援，可以讓校園網路內部的數據安全的傳輸。思科PIX-515E-R-BUN提供了入侵監控功能，可以在駭客入侵時，提供相應的策略來防範網路駭客的攻擊。這款硬體防火牆具有故障切換捆綁功能，如果網路中還有一個備份防火牆，這項功能將讓出現故障的思科PIX-515E-R-BUN 迅速轉換到另外一個備份防火牆上面去，防止網路駭客的攻擊。

　　思科PIX-515E-R-BUN防火牆使用了Cisco PIX作業系統，讓這款硬體防火牆的安全性能得到了極大的提高，並且可透過在線陞級，修補將來出現的漏洞。

　　點評:思科PIX-515E-R-BUN的整體性能如果應用在小型的校園網路中，還是讓人滿意，加上具有ASA保護機制和故障切換捆綁功能，還是讓這款硬體防火牆增色不少。

　　